アカウント名:
パスワード:
何いってんのこいつ?
「脆弱性が存在してるので隠したい」ってこと?
Security through obscurityという言葉がありましてな
同意。詳細を公表しても問題ない認証仕様で作ったうえでそれを公表しないのが一番。何でもかんでも公表しろっていう奴は無視すればいい。完璧な対応だと思う。
資料読めばわかるけど、暗号アルゴリズムとかそういう部分ではなく、本当に認証のプロセスのとこなんだよね。安全性というよりも、ある程度の柔軟性を仕様に組み込むためにも、詳細化はしないほうがよいと思う。他のサービスでもこの部分を詳細に公表するケースって見たことないし。
安全性というよりも、ある程度の柔軟性を仕様に組み込むためにも、詳細化はしないほうがよいと思う。
これは、
公衆無線LANサービスを提供する事業者等の円滑な事業展開
という観点からプラス?マイナス?
実際に公開されている仕様はこれなんだけど、これ以上の詳細化をしてもメリットがあるとは思えないな。
http://www.soumu.go.jp/main_content/000405602.pdf [soumu.go.jp]
ところで、公開しろと主張する人はこの資料を踏まえて、何をより詳細に公開すればより安全になるか指摘すると、よりよい議論になると思います。
公表されないなら、公表しても問題ない仕様かどうか分からんではないの。なぜ完璧と言えるの?
例えば、同一人物によるログインとみなせない要求は拒否する、という仕様にしたとする。どうやって検出するのかは、それが妥当なら公開する必要はない。そういうこと。公開すれば迂回しようとする輩が現れるのは確実で、公開しない方がよい。
それは、もし妥当な仕様ならば仕様は妥当である、ってだけだよね?そうじゃなくて、公表されていないことからは、妥当な仕様になっていることは導けないし、従って「完璧な対応」であると結論することはできない。ってことなんですけど。
意見募集しておいて、「俺らのやり方は妥当なんで仕様を公開する必要はない」って、意味不明なんですけど。どうやって意見すれば良いの?下賤の民の意見なんざ聞く耳持たないけど、一応ポーズだけはしとくか、ってこと?
きちんと理由を説明して反論しているじゃないですか。それに、寄せられた意見に従えばいいってものじゃないでしょ。
ちなみに「聞く耳持たない」というのは、「参考意見として承ります。」としか書いてないもの。いちいち回答するのも馬鹿らしいので回答もしない。
本当に参考にする場合には、「頂いた御意見は、今後の行政の参考とさせていただきます。」となってる。
有用な意見が出るかもしれないから意見募集して、無益な意見が出てきたらそれは無視する。
ちっとも意味不明じゃない。
仕様もわからないのに、どうやって有用な意見を出せっていうの?
>「頂いた御意見は、今後の行政の参考とさせていただきます。」「今回は、参考としません」ってことで、却下された意味じゃないの?
「頂いた御意見は、今後の行政の参考とさせていただきます。」という字面を行政が「本当に参考にする」と考えているなら,あなたは素直すぎますよ。
今回はいろいろな理由で反映できないけど(そもそもそういう内容を反映すべき文書ではないとか、もう少し慎重な検討を進めたうえでの将来の課題として考えているとか)、無視できない意見として承り、さらに検討させていただきます、という意味ですよ(もちろん、検討の結果、将来も反映されないこともあり得ますが)。「参考意見と承ります」「貴重なご意見として承ります」のような表現は単なる不採用の意味で使われる定番表現のため、これらと区別するために用いられます。
P.5の個人④を指していると思うけど、「セキュリティ的に問題ではありませんか?」「セキュリティの観点から問題ありません」となっていて反論になってないような……
しかしこれは意見側の言い方が悪いよね「仕様の詳細を非公開とすることで○○という懸念が想定されるから問題では?」という聞き方ならば、もう少しまともな非公開の理由が返ってきたと思うけど……
確かに、個人が何も考えずに出したようなコメントっぽいので、あまりまともに回答するようなものじゃないですね。
この回答内容からは、セキュリティ上の問題はあるが別の理由で公表しない、というわけではなく、むしろセキュリティ上の観点から公表していないのだ、ということは分かるので、反論の理由は(具体的ではないにせよ)一応示されていると思います。
> 公開すれば迂回しようとする輩が現れるのは確実で、公開しない方がよい。公開しなくても迂回しようとする輩が現れるのは確実だと思うし、そういう感想が間違っていたとしても現れる想定でないといけないよね。なので、「公開しない方がよい」とする根拠としてはこれでは不充分なのでは。
迂回しようとする輩が現れたらヤバイ認証仕様とか嫌だなあ。公開しなくても誰かが迂回方法見つけたら悪用され放題じゃん。公開して迂回方法が見つかって事前に防げた方がいいし、迂回方法が無い仕様ならセキュリティの観点から非公開になんてしなくていいし。
その方式だと、「悪い奴らはみんな知ってる」状態になりそう。
中の人が分かってりゃいいことで、部外者は分かる必要などない。
完璧だって言ったのは、公表されてない詳細仕様についてじゃなくて公表しろっていう奴を無視する態度について。
態度について、という話ならばわかりました。私なら「実際に妥当な仕様であることを願う」くらいに留めますが。
Security through obscurityの解釈間違えてますよ。
Security through obscurityって、今更古典暗号的ですか・・・現代暗号化では真っ先に否定される手法ですな
"Security through obscurity"って隠すことでセキュリティが守れるという勘違いを揶揄する概念であって、隠すことでセキュリティとすることを擁護するための概念ではなかったような。
×間違え○間違い
山→川から何も進歩していない・・・
プークスクス
トライアンドエラーが必要ということがわかってない先行き思いやられる
官僚は無謬ですから。知らしむべからず。よらしむべし。
何を言おうと、外圧以外に改めさせる手がないのは確かだから、外の人間に注意喚起するしか無いのでは?
MACアドレス等の収集とDB化くらいは各国政府ツーツーで行ってんでしょで、認証だけ入国だけを収集するか、接続先まで取集するか、通信内容まで見ちゃうか日本は認証だけに留まらない監視を行うんで公開できないと
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
うーむ (スコア:1)
何いってんのこいつ?
「脆弱性が存在してるので隠したい」ってこと?
Re: (スコア:0)
Security through obscurityという言葉がありましてな
Re:うーむ (スコア:2, おもしろおかしい)
同意。
詳細を公表しても問題ない認証仕様で作ったうえでそれを公表しないのが一番。
何でもかんでも公表しろっていう奴は無視すればいい。完璧な対応だと思う。
Re:うーむ (スコア:1)
資料読めばわかるけど、暗号アルゴリズムとかそういう部分ではなく、本当に認証のプロセスのとこなんだよね。
安全性というよりも、ある程度の柔軟性を仕様に組み込むためにも、詳細化はしないほうがよいと思う。
他のサービスでもこの部分を詳細に公表するケースって見たことないし。
Re: (スコア:0)
安全性というよりも、ある程度の柔軟性を仕様に組み込むためにも、詳細化はしないほうがよいと思う。
これは、
公衆無線LANサービスを提供する事業者等の円滑な事業展開
という観点からプラス?マイナス?
Re: (スコア:0)
実際に公開されている仕様はこれなんだけど、これ以上の詳細化をしてもメリットがあるとは思えないな。
http://www.soumu.go.jp/main_content/000405602.pdf [soumu.go.jp]
ところで、公開しろと主張する人はこの資料を踏まえて、何をより詳細に公開すればより安全になるか指摘すると、
よりよい議論になると思います。
Re: (スコア:0)
公表されないなら、公表しても問題ない仕様かどうか分からんではないの。なぜ完璧と言えるの?
Re:うーむ (スコア:1)
例えば、同一人物によるログインとみなせない要求は拒否する、という仕様にしたとする。
どうやって検出するのかは、それが妥当なら公開する必要はない。そういうこと。
公開すれば迂回しようとする輩が現れるのは確実で、公開しない方がよい。
Re: (スコア:0)
それは、もし妥当な仕様ならば仕様は妥当である、ってだけだよね?
そうじゃなくて、
公表されていないことからは、妥当な仕様になっていることは導けないし、従って「完璧な対応」であると結論することはできない。
ってことなんですけど。
Re: (スコア:0)
意見募集しておいて、「俺らのやり方は妥当なんで仕様を公開する必要はない」って、意味不明なんですけど。
どうやって意見すれば良いの?
下賤の民の意見なんざ聞く耳持たないけど、一応ポーズだけはしとくか、ってこと?
Re:うーむ (スコア:1)
きちんと理由を説明して反論しているじゃないですか。それに、寄せられた意見に従えばいいってものじゃないでしょ。
ちなみに「聞く耳持たない」というのは、
「参考意見として承ります。」
としか書いてないもの。いちいち回答するのも馬鹿らしいので回答もしない。
本当に参考にする場合には、
「頂いた御意見は、今後の行政の参考とさせていただきます。」
となってる。
Re: (スコア:0)
有用な意見が出るかもしれないから意見募集して、
無益な意見が出てきたらそれは無視する。
ちっとも意味不明じゃない。
Re: (スコア:0)
仕様もわからないのに、どうやって有用な意見を出せっていうの?
Re: (スコア:0)
>「頂いた御意見は、今後の行政の参考とさせていただきます。」
「今回は、参考としません」ってことで、却下された意味じゃないの?
Re: (スコア:0)
「頂いた御意見は、今後の行政の参考とさせていただきます。」という字面を行政が「本当に参考にする」と考えているなら,あなたは素直すぎますよ。
Re:うーむ (スコア:1)
今回はいろいろな理由で反映できないけど(そもそもそういう内容を反映すべき文書ではないとか、もう少し慎重な検討を進めたうえでの将来の課題として考えているとか)、無視できない意見として承り、さらに検討させていただきます、という意味ですよ(もちろん、検討の結果、将来も反映されないこともあり得ますが)。「参考意見と承ります」「貴重なご意見として承ります」のような表現は単なる不採用の意味で使われる定番表現のため、これらと区別するために用いられます。
Re:うーむ (スコア:2)
Re: (スコア:0)
P.5の個人④を指していると思うけど、「セキュリティ的に問題ではありませんか?」「セキュリティの観点から問題ありません」と
なっていて反論になってないような……
しかしこれは意見側の言い方が悪いよね
「仕様の詳細を非公開とすることで○○という懸念が想定されるから問題では?」という聞き方ならば、もう少しまともな非公開の
理由が返ってきたと思うけど……
Re:うーむ (スコア:1)
確かに、個人が何も考えずに出したようなコメントっぽいので、あまりまともに回答するようなものじゃないですね。
この回答内容からは、セキュリティ上の問題はあるが別の理由で公表しない、というわけではなく、むしろセキュリティ上の観点から公表していないのだ、ということは分かるので、反論の理由は(具体的ではないにせよ)一応示されていると思います。
Re: (スコア:0)
> 公開すれば迂回しようとする輩が現れるのは確実で、公開しない方がよい。
公開しなくても迂回しようとする輩が現れるのは確実だと思うし、そういう感想が間違っていたとしても現れる想定でないといけないよね。
なので、「公開しない方がよい」とする根拠としてはこれでは不充分なのでは。
Re: (スコア:0)
迂回しようとする輩が現れたらヤバイ認証仕様とか嫌だなあ。
公開しなくても誰かが迂回方法見つけたら悪用され放題じゃん。
公開して迂回方法が見つかって事前に防げた方がいいし、
迂回方法が無い仕様ならセキュリティの観点から非公開になんてしなくていいし。
Re: (スコア:0)
その方式だと、「悪い奴らはみんな知ってる」状態になりそう。
Re: (スコア:0)
中の人が分かってりゃいいことで、部外者は分かる必要などない。
完璧だって言ったのは、公表されてない詳細仕様についてじゃなくて
公表しろっていう奴を無視する態度について。
Re: (スコア:0)
態度について、という話ならばわかりました。
私なら「実際に妥当な仕様であることを願う」くらいに留めますが。
Re: (スコア:0)
Security through obscurityの解釈間違えてますよ。
Re:うーむ (スコア:1)
Re: (スコア:0)
Security through obscurityって、今更古典暗号的ですか・・・
現代暗号化では真っ先に否定される手法ですな
Re: (スコア:0)
"Security through obscurity"って隠すことでセキュリティが守れるという勘違いを揶揄する概念であって、隠すことでセキュリティとすることを擁護するための概念ではなかったような。
Re:うーむ (スコア:1)
Re: (スコア:0)
×間違え
○間違い
Re: (スコア:0)
山→川から何も進歩していない・・・
Re: (スコア:0)
プークスクス
Re: (スコア:0)
トライアンドエラーが必要ということがわかってない
先行き思いやられる
Re: (スコア:0)
官僚は無謬ですから。知らしむべからず。よらしむべし。
Re:うーむ (スコア:1)
何を言おうと、外圧以外に改めさせる手がないのは確かだから、外の人間に注意喚起するしか無いのでは?
Re: (スコア:0)
MACアドレス等の収集とDB化くらいは各国政府ツーツーで行ってんでしょ
で、認証だけ入国だけを収集するか、接続先まで取集するか、通信内容まで見ちゃうか
日本は認証だけに留まらない監視を行うんで公開できないと