アカウント名:
パスワード:
いちいちセキュリティーを啓蒙するよりも、予めシステムの制約としてユーザの愚行を制限する方がいいに決まってるけど、残念、そーゆー話じゃないのか…
> 「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」
何も記録せず、何も発信しないシステムにしない限り、ユーザは過ちを犯す。そんな事も分からないやつが「セキュリティー専門家」を名乗っているとは…
> 一日中テレビの前に座ってマクドナルドのスーパーモンスターミールを食べるという目先の満足感を優先させてしまうのである。> つまり、コンピューターセキュリティーは長い目で見て将来起こり得る攻撃から守ってくれるかもしれないが、人は目先の楽しい事を優先させてしまう。
その理屈だと、啓蒙は無駄と言う事にはならないだろう。米国人が僅かな例外も無く皆太っているわけではなく、健康的な生活習慣を維持できない貧困層が太っているのだから、
> このやり方はFacebookでも使われているとのこと。
え? つまりそれはダメな方法って事だよね?セキュリティーを啓蒙せずユーザのやりたいように任せたら、ソーシャルハックされまくって年がら年中トラブルになっているわけで…
うーん、やっぱりその自称「セキュリティー専門家」とやらは知ったかぶり素人じゃないのか。
> いちいちセキュリティーを啓蒙するよりも、> 予めシステムの制約としてユーザの愚行を制限する方がいいに決まってるけど、> 残念、そーゆー話じゃないのか…
いや、そーゆー話です。そーゆーシステムを開発するように開発者側を教育しろって感じで。
の所は多分訳がおかしくて、
「ユーザにしょぼいパスワードを使うことを許さず、ユーザがどんなリンクをクリックしても 気にしない(大丈夫な?)ようなシステムを開発者はデザインするべきだ。」
って書いてます。リンクがどーのこーのな話は、セキュリティでありがちな「怪しいリンクは踏むな」、ってのはユーザががんばって気にするべきことじゃなくてシステム側でもうちょっと何とかすべきだ、っていう主張だと思う。たぶん。
>> このやり方はFacebookでも使われているとのこと。> え? つまりそれはダメな方法って事だよね?
Facebook のシステムってみんなに気軽に OK 押させて個人的な情報色々ぶちまけさせてるよね、クソだよね、あーゆーの、みたいな雰囲気なのでダメな方法です。
とりあえず原文読んだほうがいいと思う。
# 自分の訳と理解もあってるかどうかは自信ないけど
確かにストーリーの要約が悪すぎるので原文を読んだほうがいいと思います。
そもそも、啓発(トレーニング)が全部ダメなんて言ってないですね。健康に関する啓発がうまく機能している例として、HIV感染予防が挙げられてます。うまくいっている理由は「気にしなかった場合のリスクがものすごく大きく、はっきりしている」「安全なセックスのために何を守ればいいかがはっきりしている」ということです。一方で、「手を洗う」という啓発ははるかに簡単なのに、うまくいっていない。手を洗わないことのリスクは小さいし、どんな悪いことが起こるかもはっきりしないからです。
車の運転の教習もうまく機能している例です。車の運転は難しいものですが、乗れることのメリットははっきりしています。また、一度安全の常識を覚えれば、車自体の技術が進歩しても同じやり方で運転できます。コンピューターセキュリティの常識が10年もすれば変わってしまうのと対照的です。
Schneierさんの主張は、「ユーザーに細々した対処法を教えるのではなく、基本的な操作方法を身につければ安全に使えるよう、開発者を啓発した方が良い」ということだと思います。 高木浩光さんがこちらの日記で [takagi-hiromitsu.jp]書かれている主張に近いと思いますね。ここで言う「ユーザーがルート証明書のフィンガープリントを確認せよ」というのが無駄なユーザー向けの啓発です。こういうことをせずに、「オレオレ証明書を使うな」と開発者を啓発し、その上でユーザーには「オレオレ証明書の警告が出たら必ず『いいえ』を押しなさい」という常識だけを身につけてもらえばいい、ということだと思います。
「オレオレ証明書を使うな」と開発者を啓発し、
こっちは、もしかすれば、なんとかうまくいくかもしれないけど、
その上でユーザーには「オレオレ証明書の警告が出たら必ず『いいえ』を押しなさい」という常識だけを身につけてもらえばいい
こっちはうまく行くかなあ。そもそも「オレオレ証明書」って物をユーザに理解させるのが困難だし。そんなことをやるくらいなら、(かなり面倒な操作をしない限り)問答無用で「オレオレ証明書」を拒否するブラウザを配布した方がいいんじゃない?
経験則で言えば、コンピューターに詳しくない人はダイアログの文章を読みません。すなわち、ボタンを押す理由を理解してません。「この画面になったらOK/キャンセル(あるいは右/左のボタン)を押す」ということしかしてないです。
よって、オレオレ証明書がどうのこうのなどという説明は無理です。
// 問題が発生したら、「ダイアログの文面を紙に書き写しておけ」と指示してます。
>> 「ユーザーにパスワードを選ばせたりなんか>せず、ユーザーがクリックするリンクを気にし>ないようなシステムをデザインするべきなのだ」>>何も記録せず、何も発信しないシステムにし>ない限り、ユーザは過ちを犯す。>そんな事も分からないやつが「セキュリティー専門家」を名乗っているとは…
よくある、悪くない主張だと思うが。例えば、企業内LANを直接インターネットに綱がないとか、そういう考え方だろう。多少不便だが、根本的な対策にはなる。
一般の企業内LAN以外にも、現代では、生産設備や実験設備もLANを使っていることが多いが、それらの制御用として導入・内蔵されているPCは頻繁にアップデートすることが困難なことが多いので、それらのLANも独立させておく方が好ましい。
うーむ、/.も墜ちるところまで墜ちたと言うべきか。
> やっぱりその自称「セキュリティー専門家」とやらは知ったかぶり素人じゃないのか。
ブルース・シュナイアーの名前を知らないのはともかく、軽くぐぐってみるぐらいの智恵を働かせたほうが恥はかかなくて済むと思いますよ。シュナイアー著、Applied Cryptographyはこの業界のバイブルで、読んでないのにセキュリティ専門家を名乗る奴がいたらゴミ、というレベルの大家ですよ。
大家だから正しいとするのはどうかと思いますよ。まあ開発者側の心構えとしては正しいと思いますが、現実的なコストでできる万能の銀の弾がない以上、やはり啓蒙は必要だと思いますが。
個人的には、中途半端な理解をもとに大家を「知ったかぶり素人」扱いする馬鹿の言うことを真に受けるぐらいなら、大家を信用して騙されるほうがまだマシだと思いますが、それはさておきどこにも「大家だから正しい」って書いてないのになんで2件も勝手にそういう読み方したコメントがぶらさがるのか本気で理解できない。文盲の集団なのかここは?
セキュリティーには技術的な側面と社会的な側面があり、不用意な喩えを用いたシュナイアー氏は後者のスキルに疑問がつきますね
と、ちゃんと#2349453でも根拠も上げて批判をしたのにガン無視して他人をメクラ呼ばわりする、騙す騙されるで生きている1ビット人間には恐れ入る
#2349453> 「会社が従業員に対して」セキュリティー啓発をするのは無駄という主張であると理解し賛成しておくが、> デブを引き合いにするのは全く不適切だな> これでは彼の主張が愚民化政策だと受け取られても仕方がないし、セキュリティー業界がバ○揃いなのもこれで納得がいく(とかいう)
これのどこが「根拠も上げて批判」なのか…。単に「僕ちゃんがこう思うから僕ちゃんはこう思う」ってだけじゃねーか。
大家を信用して騙されるくらいないら、広い見識を備えてから自分で考えて決める方がマシだよ。
敷金は返して欲しいもんね
大家と馬鹿と自分のどれが信用なるかという話が、なぜか騙す騙されるの結果論になるところがおかしい前のめりに死ぬよりも、長生きしていつまでも美少女と交尾したいのが人情ではないか
「会社が従業員に対して」セキュリティー啓発をするのは無駄という主張であると理解し賛成しておくが、デブを引き合いにするのは全く不適切だなこれでは彼の主張が愚民化政策だと受け取られても仕方がないし、セキュリティー業界がバ○揃いなのもこれで納得がいく(とかいう)
そんな受け取り方をする人がいるんですか?どこの愚民ですか、それは。
# 馬鹿は死ななきゃ治らない。つまり治らないから関わるのは無駄。# 無駄なコストは切り捨てましょう。
死んだら治るものか?なら一度死んで見るかな…
大家だから盲信するの?もしかしたらその大家とやらが愚鈍になった瞬間に、我々は立ち会ってるかもしれないのに。
盲信するわけではなく、> うーん、やっぱりその自称「セキュリティー専門家」とやらは知ったかぶり素人じゃないのか。こういう評価をするのをどうなのよ、って話。
イチローに「これだから野球の素人は」って言うような話。Bruce Schneier が自称セキュリティー専門家の素人だったら、果たして世の中にセキュリティ専門家は存在するのかってレベル。
盲信が関係する話には見えませんが。
この場合重要なのは、話している内容ではなく、大家の名前を知らないという事実でしょう。
本家の記事も読んでみると、肯定的な意見、その上でどのように実現するべきか?というコメントが高スコアの様でありますが……
何と戦ってるんだ雑談サイトなんだからもうちょっと肩の力抜いた方が楽しいよ、
まわりの人は。
> 何と戦ってるんだ
定型文で何か行った様な気になるのは君にはまだ早い。まず自分の言葉で意思疎通できるようになることだ
逆だろ自分の言葉を言えないから定型文を使うそうやって言葉って覚えていくものだろ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:4, すばらしい洞察)
いちいちセキュリティーを啓蒙するよりも、
予めシステムの制約としてユーザの愚行を制限する方がいいに決まってるけど、
残念、そーゆー話じゃないのか…
> 「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」
何も記録せず、何も発信しないシステムにしない限り、ユーザは過ちを犯す。
そんな事も分からないやつが「セキュリティー専門家」を名乗っているとは…
> 一日中テレビの前に座ってマクドナルドのスーパーモンスターミールを食べるという目先の満足感を優先させてしまうのである。
> つまり、コンピューターセキュリティーは長い目で見て将来起こり得る攻撃から守ってくれるかもしれないが、人は目先の楽しい事を優先させてしまう。
その理屈だと、啓蒙は無駄と言う事にはならないだろう。
米国人が僅かな例外も無く皆太っているわけではなく、
健康的な生活習慣を維持できない貧困層が太っているのだから、
> このやり方はFacebookでも使われているとのこと。
え? つまりそれはダメな方法って事だよね?
セキュリティーを啓蒙せずユーザのやりたいように任せたら、
ソーシャルハックされまくって年がら年中トラブルになっているわけで…
うーん、やっぱりその自称「セキュリティー専門家」とやらは知ったかぶり素人じゃないのか。
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:5, 参考になる)
> いちいちセキュリティーを啓蒙するよりも、
> 予めシステムの制約としてユーザの愚行を制限する方がいいに決まってるけど、
> 残念、そーゆー話じゃないのか…
いや、そーゆー話です。
そーゆーシステムを開発するように開発者側を教育しろって感じで。
> 「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」
の所は多分訳がおかしくて、
「ユーザにしょぼいパスワードを使うことを許さず、ユーザがどんなリンクをクリックしても
気にしない(大丈夫な?)ようなシステムを開発者はデザインするべきだ。」
って書いてます。リンクがどーのこーのな話は、セキュリティでありがちな「怪しいリンクは踏むな」、
ってのはユーザががんばって気にするべきことじゃなくてシステム側でもうちょっと何とかすべきだ、
っていう主張だと思う。たぶん。
>> このやり方はFacebookでも使われているとのこと。
> え? つまりそれはダメな方法って事だよね?
Facebook のシステムってみんなに気軽に OK 押させて個人的な情報色々ぶちまけさせてるよね、
クソだよね、あーゆーの、みたいな雰囲気なのでダメな方法です。
とりあえず原文読んだほうがいいと思う。
# 自分の訳と理解もあってるかどうかは自信ないけど
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:5, 参考になる)
確かにストーリーの要約が悪すぎるので原文を読んだほうがいいと思います。
そもそも、啓発(トレーニング)が全部ダメなんて言ってないですね。健康に関する啓発がうまく機能している例として、HIV感染予防が挙げられてます。うまくいっている理由は「気にしなかった場合のリスクがものすごく大きく、はっきりしている」「安全なセックスのために何を守ればいいかがはっきりしている」ということです。一方で、「手を洗う」という啓発ははるかに簡単なのに、うまくいっていない。手を洗わないことのリスクは小さいし、どんな悪いことが起こるかもはっきりしないからです。
車の運転の教習もうまく機能している例です。車の運転は難しいものですが、乗れることのメリットははっきりしています。また、一度安全の常識を覚えれば、車自体の技術が進歩しても同じやり方で運転できます。コンピューターセキュリティの常識が10年もすれば変わってしまうのと対照的です。
Schneierさんの主張は、「ユーザーに細々した対処法を教えるのではなく、基本的な操作方法を身につければ安全に使えるよう、開発者を啓発した方が良い」ということだと思います。
高木浩光さんがこちらの日記で [takagi-hiromitsu.jp]書かれている主張に近いと思いますね。ここで言う「ユーザーがルート証明書のフィンガープリントを確認せよ」というのが無駄なユーザー向けの啓発です。こういうことをせずに、「オレオレ証明書を使うな」と開発者を啓発し、その上でユーザーには「オレオレ証明書の警告が出たら必ず『いいえ』を押しなさい」という常識だけを身につけてもらえばいい、ということだと思います。
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:1)
「オレオレ証明書を使うな」と開発者を啓発し、
こっちは、もしかすれば、なんとかうまくいくかもしれないけど、
その上でユーザーには「オレオレ証明書の警告が出たら必ず『いいえ』を押しなさい」という常識だけを身につけてもらえばいい
こっちはうまく行くかなあ。そもそも「オレオレ証明書」って物をユーザに理解させるのが困難だし。
そんなことをやるくらいなら、(かなり面倒な操作をしない限り)問答無用で「オレオレ証明書」を拒否するブラウザを配布した方がいいんじゃない?
Re: (スコア:0)
経験則で言えば、コンピューターに詳しくない人はダイアログの文章を読みません。すなわち、ボタンを押す理由を理解してません。「この画面になったらOK/キャンセル(あるいは右/左のボタン)を押す」ということしかしてないです。
よって、オレオレ証明書がどうのこうのなどという説明は無理です。
// 問題が発生したら、「ダイアログの文面を紙に書き写しておけ」と指示してます。
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:3)
>> 「ユーザーにパスワードを選ばせたりなんか>せず、ユーザーがクリックするリンクを気にし>ないようなシステムをデザインするべきなのだ」
>
>何も記録せず、何も発信しないシステムにし>ない限り、ユーザは過ちを犯す。
>そんな事も分からないやつが「セキュリティー専門家」を名乗っているとは…
よくある、悪くない主張だと思うが。
例えば、企業内LANを直接インターネットに綱がないとか、そういう考え方だろう。
多少不便だが、根本的な対策にはなる。
一般の企業内LAN以外にも、現代では、生産設備や実験設備もLANを使っていることが多いが、それらの制御用として導入・内蔵されているPCは頻繁にアップデートすることが困難なことが多いので、それらのLANも独立させておく方が好ましい。
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:2, 参考になる)
うーむ、/.も墜ちるところまで墜ちたと言うべきか。
> やっぱりその自称「セキュリティー専門家」とやらは知ったかぶり素人じゃないのか。
ブルース・シュナイアーの名前を知らないのはともかく、軽くぐぐってみるぐらいの智恵を働かせたほうが恥はかかなくて済むと思いますよ。シュナイアー著、Applied Cryptographyはこの業界のバイブルで、読んでないのにセキュリティ専門家を名乗る奴がいたらゴミ、というレベルの大家ですよ。
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:2)
大家だから正しいとするのはどうかと思いますよ。
まあ開発者側の心構えとしては正しいと思いますが、
現実的なコストでできる万能の銀の弾がない以上、やはり啓蒙は必要だと思いますが。
Re: (スコア:0)
個人的には、中途半端な理解をもとに大家を「知ったかぶり素人」扱いする馬鹿の言うことを真に受けるぐらいなら、大家を信用して騙されるほうがまだマシだと思いますが、それはさておきどこにも「大家だから正しい」って書いてないのになんで2件も勝手にそういう読み方したコメントがぶらさがるのか本気で理解できない。文盲の集団なのかここは?
Re: (スコア:0)
セキュリティーには技術的な側面と社会的な側面があり、不用意な喩えを用いたシュナイアー氏は後者のスキルに疑問がつきますね
と、ちゃんと#2349453でも根拠も上げて批判をしたのにガン無視して他人をメクラ呼ばわりする、騙す騙されるで生きている1ビット人間には恐れ入る
Re: (スコア:0)
#2349453
> 「会社が従業員に対して」セキュリティー啓発をするのは無駄という主張であると理解し賛成しておくが、
> デブを引き合いにするのは全く不適切だな
> これでは彼の主張が愚民化政策だと受け取られても仕方がないし、セキュリティー業界がバ○揃いなのもこれで納得がいく(とかいう)
これのどこが「根拠も上げて批判」なのか…。単に「僕ちゃんがこう思うから僕ちゃんはこう思う」ってだけじゃねーか。
Re: (スコア:0)
大家を信用して騙されるくらいないら、広い見識を備えてから自分で考えて決める方がマシだよ。
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:1)
敷金は返して欲しいもんね
大家と馬鹿と自分のどれが信用なるかという話が、なぜか騙す騙されるの結果論になるところがおかしい
前のめりに死ぬよりも、長生きしていつまでも美少女と交尾したいのが人情ではないか
Re: (スコア:0)
「会社が従業員に対して」セキュリティー啓発をするのは無駄という主張であると理解し賛成しておくが、
デブを引き合いにするのは全く不適切だな
これでは彼の主張が愚民化政策だと受け取られても仕方がないし、セキュリティー業界がバ○揃いなのもこれで納得がいく(とかいう)
Re: (スコア:0)
そんな受け取り方をする人がいるんですか?
どこの愚民ですか、それは。
# 馬鹿は死ななきゃ治らない。つまり治らないから関わるのは無駄。
# 無駄なコストは切り捨てましょう。
Re: (スコア:0)
# 馬鹿は死ななきゃ治らない。つまり治らないから関わるのは無駄。
# 無駄なコストは切り捨てましょう。
死んだら治るものか?
なら一度死んで見るかな…
Re: (スコア:0)
大家だから盲信するの?
もしかしたらその大家とやらが愚鈍になった瞬間に、我々は立ち会ってるかもしれないのに。
Re: (スコア:0)
盲信するわけではなく、
> うーん、やっぱりその自称「セキュリティー専門家」とやらは知ったかぶり素人じゃないのか。
こういう評価をするのをどうなのよ、って話。
イチローに「これだから野球の素人は」って言うような話。
Bruce Schneier が自称セキュリティー専門家の素人だったら、
果たして世の中にセキュリティ専門家は存在するのかってレベル。
Re: (スコア:0)
盲信が関係する話には見えませんが。
この場合重要なのは、話している内容ではなく、
大家の名前を知らないという事実でしょう。
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:1)
本家の記事も読んでみると、肯定的な意見、その上でどのように実現するべきか?というコメントが高スコアの様でありますが……
Re: (スコア:0)
何と戦ってるんだ
雑談サイトなんだからもうちょっと肩の力抜いた方が楽しいよ、
まわりの人は。
Re: (スコア:0)
> 何と戦ってるんだ
定型文で何か行った様な気になるのは君にはまだ早い。
まず自分の言葉で意思疎通できるようになることだ
Re: (スコア:0)
逆だろ
自分の言葉を言えないから定型文を使う
そうやって言葉って覚えていくものだろ