アカウント名:
パスワード:
それに、一週間に何度もといわれてますが、ユーザーの操作なしに外部からつかれる 脆弱性ってそんなにありました? ほとんどが添付ファイル実行したりしないといけないものだと思ったんだけど違ったかな?
プレーンテキストのメールで問題があるような脆弱性ってありました?
なぜワンギリだけは「自衛手段を取るべき」で、それ以外はべきじゃないんですか? ワンギリだって、相手のアクションを前提としていますが。
1週間に何度もメンテしないといけない製品というものが、この世の中で商品として存在していること自体が異常だと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
たとえば… (スコア:1, すばらしい洞察)
さらにその金庫からものが盗まれたら、製造元の責任は免れないですね。
ソフトウエアだけがそういう常識から外れていいという
なんかいつの間にか出来た暗黙の了解みたいなものは、
そろそろやめたほうがいいと思います…
Re:たとえば… (スコア:1)
そのソフトウェアを自分の所有するハードウェアに適用するかは各ユーザなり
バンドルするハードウェアメーカーなりの判断で、その結果脆弱性が発生した
Re:たとえば… (スコア:1, 参考になる)
1週間に何度もメンテしないといけない製品というものが、この世の中で商品として存在していること自体が異常だと思います。
第三者とかクラッカーがどうのこうの、というのは別の問題かと。
#まあそう考えれば、MSがテレビコマーシャルで大々的に「インターネット、LAN、すべてのネットワークに繋がないで下さい。第三者の悪意ある行為によりWindowsに問題が発生することがあります。これを行う場合に発生するいかなる問題にも、MSは責任を持ちません」とか。
Re:たとえば… (スコア:1)
などという屁理屈はおいておくとして
MSがWindowsにセキュリティ上の問題がまったくないといったことってあったっけ?
EULAにも壊れても責任とれないよとかかれているわけで、シュリンクラップ契約になって
なければそれを適用した人間が責任をおうべきだと思うけど
それに、一週間に何度もといわれてますが、ユーザーの操作なしに外部からつかれる
脆弱性ってそんなにありました?
ほとんどが添付ファイル実行したりしないといけないものだと思ったんだけど違ったかな?
Re:たとえば… (スコア:1, すばらしい洞察)
8月世をさわがした Blaster はユーザが何もしなくても被害に遭うやつですよね。
また、最近のパッチで対象となった脆弱性については詳しくはないですが、1日に何百通もメイルを処理する身の場合、添付されているファイルを開いて大丈夫かどうかの判断を1日何百回も繰り返さないといけないわけです。メイルが単なる通信手段にもかかわらず、そこにそれだけ神経を使わざる得ないのは、本末転倒。電話やファックスを受けるのにそんな神経、普通使いませんよね。
「便利」という名の下、危険窮まり無い機能を不用意に製品につけて売ってよいのか、ということは、そろそろ社会的に議論されないといけないのではないでしょうか?
たとえば食品添加物も、「便利」の名の下に使用されてきましたが、健康のために見直しが行われている。それと同じことがOSやソフトで起きるべきように感じます。
Re:たとえば… (スコア:1)
RPC周りのパッチはそうですね。
けど、私の記憶ではこれは二つで、週3回にはなりません。
>また、最近のパッチで対象となった脆弱性については詳しくはないですが、1日に何百通もメイルを処理する身の場合、
>添付されているファイルを開いて大丈夫かどうかの判断を1日何百回も繰り返さないといけないわけです。
>メイルが単なる通信手段にもかかわらず、そこにそれだけ神経を使わざる得ないのは、本末転倒。
>電話やファックスを受けるのにそんな神経、普通使いませんよね。
プレーンテキストのメールで問題があるような脆弱性ってありました?
昔は変なスクリプトの仕込まれたHTMLメールとか、添付ファイルが問答無用で開くってのが
あったと思うけど、それに関するパッチはかなり前に出てたような気がするし、
週に3回もこれのパッチがあったと思わないんだけど。
電話やFAXと比較してるけど、開いて動作するタイプのセキュリティホールにひっかかるのは、
電話やFAXでの詐欺にひっかかるのと同じようなもんだと思うんだけど。
電話やFAXで怪しいのがきたら警戒するのと同じことがなんでwebやメールだと
デバイス側での対応が要求されるんだろう?
Re:たとえば… (スコア:1)
私がいいたいのは他と比較で話をするんなら、他に対してもってるのと同じ程度の
リテラシーを持ってくれないと困るってことで、バグがあるよりないほうがいいと思ってます。
ただ、現状のソフトウェアにもPL法をとかっていう趣旨で話すかたを見ていると
ハードウェアよりはるかに容易に変更が可能であったり、組み合わせが可能だったりする
ソフトウェアの特性を無視してハードウェアと同程度の安全性が無いのはおかしい
といわれてるように思えるので、それはとうてい受け入れがたい話として反発してます。
アプリケーションやOSに対して安全性の基準を求めるのであればそれはハードウェアとの
比較ではなく、ソフトウェアである新聞や書籍の内容や楽曲との比較でなされるべきでは
ないでしょうか?
#ネットワークに関しては既存のネットワークである電話やFAXとの比較かな
#悪質な勧誘電話や詐欺が電話やFAXでできるからといって、メーカーや
#電話会社に対応求めないよな?
Re:たとえば… (スコア:1)
つまりはそういうことです。
世の中、プレーンテキストメイルだけなら、ここまで問題は大きくならず、電話と同じくらい安心して使えるものになっていたでしょう。
ですが、どこかの誰かさんが、HTMLをデフォルトにしたり、クリックだけでどんな添付ファイルも開けるようにしてしまったり、単なるワープロの癖にスクリプトで余計な動作出来るようにしてしまった。たしかにそれによって提供される利便性はあるけれど、それによって引き起こされる危険性を無視、あるいは軽視していた。
電話にたとえるなら、ワンギリにまつわるデマで、かけなおすだけで高額料金を請求される、というのがありましたが、もし携帯電話会社がデフォルトでダイヤルQ2のようなサービスを提供していて、かつ、その番号が一般の番号とわからないようになっていれば、デマがデマでなくなっていたかもしれません。もしそうなっていたら、今以上にワンギリは社会問題化して、電話会社はそれなりの対応をさせられていたんじゃないでしょうか?
電話やファックスの詐欺では、あきらかにこちらもアクションしているわけで、引っ掛かる方も自衛手段を取るべき、という論はわかりますが、携帯の着信歴へのかけ直しやメイルの添付ファイルを開く、という行為がすでに常態化している(送る方もそれを前提として送っている)以上、「クリックする方がわるい」というのは、問題の解決にならないと思うのですが。
なお、本文に本質的なことを書かず、添付ファイルを開かないと主旨がわからないようなメイルを送ってくるのは、Windows しかしらないユーザであることがほとんどです。
Re:たとえば… (スコア:0)
なぜワンギリだけは「自衛手段を取るべき」で、それ以外はべきじゃないんですか?
ワンギリだって、相手のアクションを前提とし
Re:たとえば… (スコア:1)
おっしゃってる内容だと究極的には通信の検閲をすべきってことになりません?
安易に添付ファイルを開かない、怪しいバイナリは実行しない、
誰からかわからないワンギリにコールバックしない程度の自衛手段は
高度な知識が要求されるわけでもないんですから、検閲をうけるよりも
妥当だと思うんですが。
もちろん、BlasterやNIMDAといったリモートからユーザアクションをへずに
攻撃される穴がそれこそ週に3回も対応が必要だったり、ユーザアクションの
結果攻撃されるものであっても一切情報やパッチが流れないってのなら
問題だとは思いますが、現状はWindowsUpdateで一元的に配布されてる
わけですから、MSに全面的に問題があるとはいえないと思うのですが。
結局、道具なんだからユーザの使い方しだいってことなんですよね
電話だってとりこみ詐欺とかイタズラ電話とかあるわけですし、
包丁や車にいたっては人殺しもできる。イタズラ電話防止のために
紙で申請して相手の認可もらった先にしかつながらない電話とか、
事故や怪我防止のために切れない包丁やら時速10キロしかでない
車とかあっても不便なだけですし。同じように添付ファイルの使えない
メールとか、マクロの使えないエディタとかも不便じゃないかと
Re:たとえば… (スコア:1)
あの、前の文章、理解しているでしょうか?
現状のワンギリは「自衛手段」をとりやすい、つまり、わざわざ自分の住所やらなんやらを教えないと、法外な請求はこない。
ですが、*もし*、携帯電話会社がダイヤル Q2 になんの警告や確認もなくかけることができ、また、電話番号もそれとわからない番号の場合、その「自衛手段」は難しくなる(見知らぬ番号にかけるだけで法外な料金を請求される)わけです。
幸いにして現在の携帯電話はそうはなっていません。つまり、自分の個人情報を自発的に相手に知らせなければ、ワンギリの金銭的被害にはあいません。(精神的被害にはあうかもしれませんが)
ですが、現在の Windows のOutlook はそうなってませんか?というのがわたしの論点です。
Re:たとえば… (スコア:1)
特に最後のが効いていて、自分だけじゃなんともできない。不用意に添付ファイルを送りつけてくる時はできるだけ相手に注意はしてますが、その数がやたら多い上、危険性を理解できる程ITに精通しているわけではない。なので、送られてきた添付ファイルは開かざるえない。
そこでちゃんと判断しろ、という話をしたいのかもしれませんが、1日に何百回もそれをしっかり判断する(しかも、メイルを読むことが本来の仕事ではない)というのが、どれくらい精神的に負担になるか、無駄であるかはわかりますよね。
なので、MSにはよけいなものをすべてオフにしてくれ、といいたいわけです。HTMLメイルも、office 製品の script の実行も。
Re:たとえば… (スコア:1)
MSオフィスって本来はローカルの信頼されたファイルを扱うためのものです。
また、添付ファイルはローカルに取り込んだ後は添付ファイルだったという属性は
もってません。
それがネットワークに対しても安全であることを要求するのはおかしいのでは?
室内に泥棒を招きいれて、鍵のかからないキャビネットの中身を盗まれて
キャビネットが悪いというようなものでは?
> OL や OE は、ワンクリックでワードファイルなどを表示(つまりそのなかに埋め込まれたスクリプトも)実行される。
これってプレビュでも実行されましたっけ?
本文を確認するだけならプレビュだけでも実行できたと思いますし、
プレビュで見るぶんには勝手に実行されないパッチってすでにでてません
でしたっけ?
私は、OLもOEもさわらなくなって久しいのではずしていたら確かにこの点は
問題ですね。
> ワードファイルなどを添付することが、Windows を使っている職場で常態化しており、1日にかなり多くの添付付きメイルを扱う必要がある。
これってWindowsの問題ですか?
送る人間と、よくわからない添付ファイルを疑いなく開く人間の問題で
Windowsとは関係なくユーザのリテラシの問題だと思うのですが。
こういったユーザはOSがWindowsだろうがUnixだろうがtronだろうが
同じように添付ファイルを使うと思います。
Re:たとえば… (スコア:0)
発番してれば口頭で教えなくても請求がくることもありましたが、なにか?
アクションを取らず無視してれば何も問題ありません、双方とも。
#いくばくかの精神的苦痛は感じるかもしれません、双方とも
Re:たとえば… (スコア:0)
Outlook系の問題やActiveX系のいろいろ、IISではNimda、CodeRedなど、Blasterをはじめとするあんなのやこんなの。昔ならOfficeのマクロウィルス、MS JavaVM系、Windows Media Player系の脆弱性もたくさんありましたねぇ。
添付フ
Re:たとえば… (スコア:1)
マクロウィルスとかJavaVMとかの例ってそれを開かなければ害がないはずでは?
過去にプレビューで発症するって問題はあったけど、それに対する対策パッチ
を数えても週に3回って計算にならないと思うのですが。
悪意のあるスクリプトの埋め込まれたサイトを自分で開くとか、
マクロウィルスの仕込まれたOfficeドキュメントを開くとか
ってのは電話で呼び出されて行ってみたら拉致されたとか
怪しい小包を開けてみたら爆発したとか法外な請求をされたとか
と同じことだと思うのですが。
なんで電話やFAX、訪問販売に対してできてる自衛がインターネットになると
できなくなるんでしょう?
Re:たとえば… (スコア:1)
> 第三者の悪意ある行為によりWindowsに問題が発生することがあります。
> これを行う場合に発生するいかなる問題にも、MSは責任を持ちません」
EULAに書いてない?
[udon]
PC用OSに期待しすぎ (スコア:0)
と言ってみるテスト。