パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱マテリアルがファイル丸出しで顧客情報漏洩」記事へのコメント

  • 対応が遅いな・・ (スコア:4, おもしろおかしい)

    dat落ちしたのを●で読んでみると、おそらく一番初めの書き込みが
    05/03 22:45。
    三菱マテリアル記事 [mmc.co.jp]によると
    5/6朝の8時に某チャットの書き込みでやっと気づいてますね。

    朝から何してらしたんでしょうか
    • by Anonymous Coward
      チャットやBBSやMLを監視して通報するサービスがあるらしいですよ。
      先日もこんなふうにデータもCGIもいっしょくたにインストールする奴が居てサー。 /cgi-bin/ に入れてくれよって言っても「出来ません」とか答えるんだよ。 おまえらの「出来ません」「わかりません」でどんどん世の中が悪くなる。 死ね。
      • よく分からないんだけど、データはdocumentroot以下じゃない所に
        置いといて、cgiからパスを指定して呼び出すだけのことでそ?

        そんな単純な話じゃない?
        • by Anonymous Coward on 2004年05月07日 16時21分 (#542605)
          "Options -Indexes" の指定し忘れとかいう初歩的単純ミスかなーとか。

          #あてずっぽうなのでAC
          親コメント
          • Re:対応が遅いな・・ (スコア:1, すばらしい洞察)

            by Anonymous Coward on 2004年05月07日 16時40分 (#542613)
            Options -Indexes で何か対策した気になる事自体が初歩的ミス。
            親コメント
            • じゃー簡単に丸出しにする対策(笑)を一つ教えてください。
              • もっとましな会社に外注する。
                三マテ社員が自分でやってる訳ではないんでは(あてずっぽう)??
                つーかこんな学生バイトでもしねぇミス今時かます会社がのこってるってことは、その手の業界の正常な淘汰がまだ完了してないんでしょうね。
              • #542605のACです。

                申し訳ない、#542613の意味を取り違えていた&その後のコメントの書き方も悪かったです。

                丸出し状態にするには"Options -Indexes"を指定しないだけでは甘い、
                もう一工夫必要なんだということだったんですね。

                全開丸出しにするためには設定の他にも発注先を選ぶことが必要という意味なのですね。

                精進します。
              • by Anonymous Coward on 2004年05月07日 22時26分 (#542761)

                仕事でサーバをちょこちょこ発注しています(自分でも作れるけど会社の方針で外注)。

                いわゆる大手メーカーのSI屋に発注するのですが、 設定が緩いよ。
                こっちも機能に関する要求はきめ細かく書くし、 ちゃんとチェックするけど、セキュリティ周りや準正常系の 動作って要求しにくいんですよね。そのせいかSI屋も めっちゃ適当に作るし、こっちもちゃんと評価やチェックできる 人材が少ない。もちろん上司なんかは、そういう周りの細かいのを 知っているはずもない。

                正直、SI屋もデフォルトの設定より変更するのをいやがるし、知らない。solarisなんて沢山変更が必要だし(変更すれば幾らでもセキュアに出来るのがsolarisの良いところ)、各種デーモンのchrootとか必要だよね。FWなどパケットフィルタなんか全てのサーバに入れると思うのだけど、上位のL3SW or LBの一点入れただけで何で良いとするかなぁ。こっちの運用方針を聞き取りもしないでよく決めるよな。

                2004年にもなって新規作成のサイトでXSS対策すると工数がかかるとか言う所はどうにかなりませんかね。そこの会社はお金によってはXSSを考慮しないサイトを今でも構築しているんですかね。

                そういうSI屋が納品するサーバをチェックする要員がいなそうな公共団体。そういうところにもシステムを収めているかと思うと恐いです。

                正直、この業界は急成長しすぎちゃっていますね。分かる人材が貴重過ぎるし、そういう人材を正当に評価できていない。

                自分も資料作って周りの人に迫ることをあまりしていないので、それについては反省しつつ、改善することが今年度の目標です。
                三菱マテリアルのような、恥ずかしいことが減りますように、がんばりましょう。

                親コメント
              • > つーかこんな学生バイトでもしねぇミス今時かます会社がのこって
                > るってことは、その手の業界の正常な淘汰がまだ完了してないん
                > でしょうね。
                そだね、淘汰されてない。みかかだたとか目立軟件とか観音軟件とか、とか、とか

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

処理中...