パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Linux/Unixでのセキュアなプログラムの書き方」記事へのコメント

  • 8.2. コメントはいれない [linux.or.jp]とあるけれど、どの程度コメントならOKでどの程度のコメントならまずいのだろうか?

    # 「最終更新日」とかまずそうだね...

    サーバーとか調べれば、OSとか使っているサーバーとか分かってしまうのが多いと思う(←良く知らない)のですが、そういうのもちゃんと隠したほうが良いということでしょうか?
    --
    // Give me chocolates!
    • そこで言ってるのはあくまで <!-- --> のコメントを出すなと言ってるだけなのでは?
      例えば PHP なら <?php // コメント ?> は問題ないでしょう。
      でもどうせなら、攻撃の徴候を検出して偽のコメントやエラーメッセージ吐かせるとかした方がおもしろそう。

      それから、ソフト名やバージョン隠す事にどれ程の
      --
      uxi
      • by Anonymous Coward
        いちいちバージョンチェックしてから穴突くよりはイキナリ穴突いた方が早いですからね。

        Debianの場合パッチが当たっててもバージョンが変化しない事が多いのですが、表示されるバージョンだけを見て「古いバージョンだ」とか騒ぎ立てるセキュリティ厨が良くいます。
        バージョンを出さないようにしておけば、そういう輩の相手をしなくても済むので、それはそれで嬉しい。
        バージョン隠しても、そういうバカ除け以上の意味は無いですね。

        元の文書で言う「情報を与えるな」というのは、例えばDBをアクセスするようなソフトで、エラ

        • > いちいちバージョンチェックしてから穴突くよりはイキナリ穴
          > 突いた方が早いですからね。

          それをやると相手先に痕跡が残ります。
          もし穴が開けば入って痕跡を消せば良いのですが、
          穴がなかったら無意味どころか不要な痕跡を残すだけマイナスです。
          ターゲットを絞らず世界中無闇やたらに無差別攻撃をすると
          世界中に自分が攻撃をしたことの痕跡が残ります。
          この痕跡の量は多ければ多いほど攻撃者にとって損ですので
          もしあらかじめ攻撃先を絞ることができるならば絞っておきたいと
          考えるのが犯罪者心理です。

          身代金目的で子供を誘拐する場合も大抵の犯人は

日々是ハック也 -- あるハードコアバイナリアン

処理中...