アカウント名:
パスワード:
ルータで SSL 以外をブロックすれば
とか
結局、この種のシステムを作る場合は、ネットワークのセキュリティだけではなくて、端末の物理セキュリティ(鍵のかかる部屋に入れるとか)とか運用基準、監査まで込みで設計を行わないとだめ
とかちゃんと読んでnimさんの言おうとしてる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
入れなかったらニュースぢゃぁないの? (スコア:0)
過去の報道等で明らかになっていたわけで、入れたのは
あたりまえなのでは?
入れなかったら、「雇われたハッカー」の腕が悪いか
今まで報道されていたほどに酷いものではなかった
ってことですよね?
-- - -- - --
Windowsだって時点でアウトだと思うのが業界の常識じゃぁないでしょうか?
Re:入れなかったらニュースぢゃぁないの? (スコア:3, 興味深い)
単純な例として、サーバを Windows 上の Apache として、ルータで SSL 以外をブロックすれば、例えば Linux / Apache のシステムとそう変わらないと思います。サーバアプリケーションの設計さえしっかりすれば、クライアントの脆弱性からの大幅な隔離は可能ですし。
また、クライアント側といういみなら、現在でも多くのシステムは Windows を使用してるわけです。
結局、この種のシステムを作る場合は、ネットワークのセキュリティだけではなくて、端末の物理セキュリティ(鍵のかかる部屋に入れるとか)とか運用基準、監査まで込みで設計を行わないとだめなので、もしそれがきちんとできていなかったとすれば総務省側の責任は重いでしょうし、それがあるのに無視していたとすれば自治体にも責めるべき点は多いと思います。
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
とか
とかちゃんと読んでnimさんの言おうとしてる
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
いやぁ、なるんじゃないのかなぁ?
「総務省側の責任は重い」「自治体にも責めるべき点は多い」という記法からして
とにかく「総務省の責任>>自治体の責任」にしたいようなので。
#そのつもりがなくてもにじみ出てるよ
Re:入れなかったらニュースぢゃぁないの? (スコア:1)
導入のイニシアティブをとって、設計を行ったのは総務省だと理解してます。そのとき、必要なセキュリティ上の要請をユーザが守っているかどうかをきちんとチェックするというところも設計に含まれるべきだと思っていますから。
セキュリティってそういうものじゃないですか?
誰も信用できない。正規ユーザも、管理者も、開発者も信用できないというところから始まるものだと思っています。もちろん実際にはトレードオフとか割り切りとか運用でカバーとかがあるわけですが。
今回の場合、「端末側の管理は自治体の責任(だから考えなくていい)」と思っていたとしたら、セキュリティというものを理解していないと思います。
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
同じ事象について、Aが守らなかったら「責任は重い」でBが守らなかったら「責めるべき点は多い」という偏りっぷりの話です。