パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Linux/Unixでのセキュアなプログラムの書き方」記事へのコメント

  • 8.2. コメントはいれない [linux.or.jp]とあるけれど、どの程度コメントならOKでどの程度のコメントならまずいのだろうか?

    # 「最終更新日」とかまずそうだね...

    サーバーとか調べれば、OSとか使っているサーバーとか分かってしまうのが多いと思う(←良く知らない)のですが、そういうのもちゃんと隠したほうが良いということでしょうか?
    --
    // Give me chocolates!
    • そこで言ってるのはあくまで <!-- --> のコメントを出すなと言ってるだけなのでは?
      例えば PHP なら <?php // コメント ?> は問題ないでしょう。
      でもどうせなら、攻撃の徴候を検出して偽のコメントやエラーメッセージ吐かせるとかした方がおもしろそう。

      それから、ソフト名やバージョン隠す事にどれ程の
      --
      uxi
      • by Anonymous Coward
        いちいちバージョンチェックしてから穴突くよりはイキナリ穴突いた方が早いですからね。

        Debianの場合パッチが当たっててもバージョンが変化しない事が多いのですが、表示されるバージョンだけを見て「古いバージョンだ」とか騒ぎ立てるセキュリティ厨が良くいます。
        バージョンを出さないようにしておけば、そういう輩の相手をしなくても済むので、それはそれで嬉しい。
        バージョン隠しても、そういうバカ除け以上の意味は無いですね。

        元の文書で言う「情報を与えるな」というのは、例えばDBをアクセスするようなソフトで、エラ

        • > いちいちバージョンチェックしてから穴突くよりはイキナリ穴
          > 突いた方が早いですからね。

          それをやると相手先に痕跡が残ります。
          もし穴が開けば入って痕跡を消せば良いのですが、
          穴がなかったら無意味どころか不要な痕跡を残すだけマイナスです。
          ターゲットを絞らず世界中無闇やたらに無差別攻撃をすると
          世界中に自分が攻撃をしたことの痕跡が残ります。
          この痕跡の量は多ければ多いほど攻撃者にとって損ですので
          もしあらかじめ攻撃先を絞ることができるならば絞っておきたいと
          考えるのが犯罪者心理です。

          身代金目的で子供を誘拐する場合も大抵の犯人は
          • >それをやると相手先に痕跡が残ります。

            ウチのApacheのログやsnortのログには痕跡残りまくってますが

            >身代金目的で子供を誘拐する場合も大抵の犯人は(以下略)

            一人誘拐する時にかかる手間と、セキュリティホールを突くパケットを送る手間の違いは無視ですか?

            • by Anonymous Coward on 2003年06月22日 0時40分 (#342763)
              > ウチのApacheのログやsnortのログには痕跡残りまくってますが

              Apacheのログに残る攻撃の痕跡のうち
              ウイルスによるものと手作業による攻撃の比率はどのくらいになってますか?
              当方ではほとんど100%ウイルスです

              > 一人誘拐する時にかかる手間と、セキュリティホールを突くパケットを送る手間の違いは無視ですか?

              成功率の低い攻撃へのチャレンジを無闇大量に行なうことに伴うデメリットとして
              証拠をあちこちにばらまいてしまい、それを消すことが困難になり
              自分に対する捜査に対して余計な情報を与えてしまうことが挙げられます。
              その例として窃盗や誘拐などの犯罪が例示されることはよくあることで、
              なぜならばその要素を持つからです。
              もちろんその要素においての面に似た面があるというだけのことであり、
              その例示行為そのものが「違う特徴がある」を否定することには繋がらないでしょう。

              今回述べられているのは
              クラッキングを無闇にやることと誘拐を無闇にやることには
              似たようなデメリットがあるということであり、
              それは似た特徴があると述べられているだけのことであり、
              違う特徴がないとまでは述べられておらず、
              それに対して「手間の違い」があるという別の話を持ちだすのは詭弁といえるでしょう。
              親コメント

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...