パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

予想通り?Passportにセキュリティホール」記事へのコメント

  • >まあ、Microsoftのセキュリティに関する実績から考えれば、

    塞いだはずの穴が次のバージョンで復活するんですよね。セキュリティに関する筋の通った考えがないので、対処療法はできるけれどセキュアなシステム構築
    • by Anonymous Coward on 2001年11月06日 10時34分 (#35860)
      Microsoftみたいな規模と責任を持つソフト屋がそんなことでいいのか、
      という話は別にして、
      純粋な「職業」プログラマ(単なるお仕事としてソフトを書いてる人々)
      というのはかなりセキュリティに無頓着、っていう感じがします。
      普通に動かしててコケるコードを書いたらガンガン言われて直させられますが
      バッファオーバーフローにしてもクロスサイトスクリプティングにしても
      かなり計算されたアタックを掛けられない限り問題が露呈しないわけだし
      普通のソフトのバグ出しのプロセスだと、それ以前のレベルのバグ出しで精一杯。
      よほどコードを書いている本人の意識が高いか、
      さもなければ組織全体の意識が高いか、
      でないとできてくるコードのセキュリティって向上しません。
      先日内製の小さなWebサーバの開発にかかわるミーティングに出席したのですが
      うちみたいな場末のソフト開発現場では、バッファオーバーフローという言葉すら
      一般化していません。そりゃあ取ったバッファより長い入力を受け取れば
      オーバーフローするのはするでしょうけど何が問題なんですか?
      そもそもそんな入力入れる奴ぁいませんよ。
      クラッシュするだけだしクリティカルな用途じゃないし、
      リスタートすればOKでしょ?みたいなトーンです。
      どういうリスクがあるか自分のレベルで精一杯解説するメールを書きながら、
      ああMSでもこんなレベルの奴がいっぱい働いてんだろうなあ、と想像しているんだけど。
      親コメント
      • > 純粋な「職業」プログラマ(単なるお仕事としてソフトを書いてる人々)
        > というのはかなりセキュリティに無頓着、っていう感じがします。

        まったく同感です。
        私の居たSIでは、特定分野の専門部隊が存在していたいため、
        特定の技術・製品に関するセキュリティなどの情報が
        管理されていません。
        私がかかわったWebアプリケーションの場合でも、
        クロスサイトスクリプティングの脆弱性は認識されていませんでした。

        Web系システムではセッション管理などに特に気をつけて
        設計しなければならないにもかかわらず、
        大半が普通の業務システム系SEが設計しているのが
        現状ではないでしょうか。

        産業技術総合研究所の高木浩光氏の調査でも、調査対象の大半の商用サイトでクロスサイトスクリプティングの
        脆弱性が確認されています。
        親コメント
        • セキュアなシステム構築が難しいのは分かります。わたしだってIBMのサイトで勉強するまではバッファ・オーバーフローの本当の恐さを知らなかったし、セキュア方面は経験を積まないとなかなか分かることではないと思います。

          問題は、Microsoftのセキュア経験値が一向に増えないことです。
          現状は、いつまでも同じ間違いを繰り返している鶏頭状態でしょう?元がスタンド・アローン屋さんだから最初は分からないのも無理はないけれど、経験したことくらい学んでほしい。周りにも迷惑がかかっちゃうんだからさ、いつまでもインターネットのお荷物でいるのはどうかと思うぞ。
          それができないのなら、Windowsからインターネット接続できないようにして、昔のMsNでがんばってほしい。インターネットはWindowsが使えないMS劣等民が大事に育てますから:^)。
          親コメント

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...