パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティホールの責任はどこに」記事へのコメント

  •  何も変わらなそうな気が。
     現状のMS製品だって、「命や資産に関わるところに使うな」って書くだけでPL法から逃れてるし、、、
    (個人的には、ウイルスによる被害でBIOS飛ばされたりしたら、メーカーにPL法が適用できないのかと思ってみたり。すでにPOSにNT載ってたりするけど、その辺の問題は無いんですかね)

     元記事で言うような、仮に「XX法」って法律が出来ても、現在のMS製品に適用することは出来ないでしょう。
     そ
    • by Anonymous Coward

      少なくとも私を含め、娯楽として使ってる人間に、実際どれほどの被害があるのだろう?

      自分が被害なさそうなら、他の人達もなさそうということですか。そういう想像力の欠如した人は、

      •  って、それがおかしいのよ。
         安全性に問題があると判っている部品で仕組みを作って、後から騒いでるんでしょ?

         しかも「なりつつある」だけでしょ? ほんとにその仕組みが無いと、あなた困るの?
         少なくとも、私がそう言う仕組みの開発に関わるなら、全力で開発そのものに反対しますが。(少なくとも現状では)
        • by Anonymous Coward on 2002年01月25日 17時12分 (#57270)
          ほんとにその仕組みが無いと、あなた困るの?
          私は困らないが、危険と知らずにその仕組みを使う人はたくさんいるわけですよ。
          私が困らないとかあなたが困らないとかは関係ないわけ。
          親コメント
          • by nak (5484) on 2002年01月25日 18時21分 (#57298) ホームページ 日記
             ちとオフトピ気味になってきたが、、、

             ここで話題になってるのは、ソフトウェアのセキュリティホールですけど、そもそも、インターネットの仕様そのものがそんなに安全なものでは無い訳です。
             そんな仕組みを、何かあったら利用者に被害が及ぶような用途に利用するってのは、根本からおかしい。
            (知らないうちにセキュリティホールって言い換えられてるけど、結局は、昔からあったバグな訳ですし)

             つまり、現在のインターネットって、所詮は娯楽用途が限界なので、そんな用途なら大して困らないのでは?

             、、、と私は言ったつもり(ちと不足してたか?)だったんだが、みんな、そんなに重要な事に使おうと、ほんとに思ってるのか?
             メール1つ取っても、到着が保証されている訳でもなく、ほんとに重要な物は送ることも出来ないのに。

             仕組みを知らない人間が使ってしまい、被害を受けると言うのであれば、セキュリティホール以前に安全なネットの仕様が無いと、安全なプログラムってのは作れないと思う。

             それに、いくらネットが発達しても、従来の仕組みも残る訳で、あくまで補助的な物だと思うがいかがか?
            親コメント
            • by Net2000 (6704) on 2002年01月25日 18時59分 (#57308)
              >つまり、現在のインターネットって、所詮は娯楽用途が限界なので、>そんな用途なら大して困らないのでは?

              別の方もコメントしているけど、インターネットもインフラ化しており、あまり無責任な対応では困るということだと思いますよ。
              RFC自体には、必ずセキュリティ項目があって、セキュリティ考慮を
              するようされているけど、実際はあまりかかれていないが。

              例えば、TCP/IPのポートで公式に定義されていないポートにアタックをかけられたりして落ちるようなソフトはダメよ といっているのです。これアウトバンドアタックとか言われている。
              それら想定外については、落ちないように穴に蓋をしときなさいよといっているのです。
              親コメント
            • by Anonymous Coward
              そもそも、インターネットの仕様そのものがそんなに安全なものでは無い訳です。
              どこの部分が安全でないと?SSLの使用を前提にしていても?

              インターネット以外のネットを使えばどうにかなるとでも?
              • by nak (5484) on 2002年01月25日 19時20分 (#57314) ホームページ 日記
                どこの部分が安全でないと?SSLの使用を前提にしていても?

                 Webにしろ、メールの相手にしろ、個人や団体との対応が保証されたものではありません。
                 現実世界でも悪意を持った人間の犯罪はありますが、この点が明確になってないのが、ネット上の犯罪を増やす原因で一番大きいのでは。
                 仮にセキュリティーホールがあったとしても(もちろん無い方が良いのですが)、すべてのアクセスについて個人が特定できる仕組みがあれば、現実世界以上に犯罪は減るのでは無いかと思います。(運用を誤るとプライバシーも無くなりますが)

                 SSLは、現在は安全とされてる訳ですが、どこかで盗聴に成功していても気づくことは出来ません。
                (ただし、これについてはあまり現実的では無い話ですので、屁理屈程度の話です)

                インターネット以外のネットを使えばどうにかなるとでも?

                 現在の仕組みでは無理でも、仕組みを変える、新しく作る事は出来るでしょ?
                 もちろん膨大なコストはかかるでしょうが、本当にセキュリティを確保するなら仕方ないでしょう。
                 それが無理なら、割り切って今のネットを使うだけです。
                親コメント
              • by Anonymous Coward

                Webにしろ、メールの相手にしろ、個人や団体との対応が保証されたものではありません。

                SSLを使用したWebは、サーバ運営者と団体の対応が保証されていますが?

                 SSLは、現在は安全とされてる訳ですが、どこかで盗聴に成功していても気づくことは出来ません。

                それはまさにセキュリティホールなんだから、修正すればいいですね。そしてその体制をどうするかが議論されているのですが?

                (ただし、これについてはあまり現実的では無い話ですので

              • by nak (5484) on 2002年01月25日 20時15分 (#57325) ホームページ 日記
                SSLを使用したWebは、サーバ運営者と団体の対応が保証されていますが?
                 そうですか、不勉強でした。
                 SSL以外(メールなど)については何かしら保証されたものはあるのでしょうか?今後勉強したいと思います。

                わかってるなら書かなきゃいいのに。
                 一応SSLの話題を振られたので答えてみました。
                 書かないと「わかってる」と言う事も伝わりませんし。

                仕組みを変えても同じ結果になると思いますよ。そうでないなら、とても不便なシステムになるか、全然普及しないシステムになるか、一社独占のシステムになるでしょう。
                 そうかもしれませんね。
                 でもなんでこの中に、今以上のシステムになると言う可能性が無いのでしょうか?
                親コメント
              • Re:根本的には (スコア:2, 参考になる)

                by numa (4467) on 2002年01月26日 2時17分 (#57397) ホームページ 日記
                SSLを使用したWebは、サーバ運営者と団体の対応が保証されていますが?

                SSL を使用した HTTP 通信で保証されるのは,

                • 接続先ドメインと,相手が持っている証明書に書かれているドメイン名とが一致している
                • 通信内容は暗号化されている

                ということだけで,それ以上でもそれ以下でもありません。

                通信は盗聴されないかもしれないし,相手は別人のなりすましではないかもしれませんが,相手先が顧客名簿を流出させないという保証には,ならないでしょうね。暗号化と相手先確認だけが問題なら,「SSLなら大丈夫」でいいのでしょうけれど。

                親コメント
              • by Anonymous Coward

                ということだけで,それ以上でもそれ以下でもありません。

                その通りですが、何か?

                相手先が顧客名簿を流出させないという保証には,ならないでしょうね。

                だからセキュリティホールの

              • ま、SSLだろうがOSそのものだろうが、結局のところただの道具なので、道具側でいくらがんばっても使う人間がタコなら一緒。

                PL法には、製造者の責任において正しい使用法や危険性をユーザーに知らしめる、というのも含まれているわけです。要はシートベルトしないで事故を起こして怪我しても、それはメーカーの責任ではない。だけどシートベルトの機構そのものに欠陥があったら、それはメーカーの責任。

                現状のソフトウェアの使用許諾は、上記の両方の責任をメーカーが一方的にユーザーに押し付けているように見えるんですよ。で、元記事は両方をメーカーに負わせようとしている感じ。どっちも間違ってると思うんですけどね。

                私ゃ、要は変に隠したり [srad.jp]、開き直ったり [srad.jp]、反対に言いがかりをつけたり [srad.jp]せずに、正しく迅速かつ積極的に情報を開示し、速やかに対処してくれさえすれば良いんですけど。

                親コメント
              • あなたも「そもそも、インターネットの仕様そのものがそんなに安全なものでは無い訳です。 」とおっしゃるのですか?

                いや,そうまでは申しませんが, 「そもそも…」という言明に対して, 「いや,SSL があるから大丈夫だ」と反論されたようでしたので, 「SSL が解決するのは,問題の一部だけだ」と申し上げたまでです。

                SSL で接続したからと言っても相手として確認できるのは ドメイン名だけだから,たとえば takashimaya.com を名乗っているから「高島屋」のサイトだという保証はないし, 相手のサイトの管理がちゃんとしていることの保証にもならないから,名簿流出その他のリスクはもちろんある。 そういうのを全部セキュリティホールだと言われるなら, もう何も申しませんが。

                ところで,匿名で投稿されておられるので わからないのですが,同一人物ですよね。 本人確認できないので自信がないのですが:-)

                親コメント
              • by Anonymous Coward
                SSL で接続したからと言っても相手として確認できるのはドメイン名だけだから,
                あのねえ、過去ログ [srad.jp]読みなって。
                もしかして、証明書確認したこともないとか?
                そういうユーザが一番困り物ですな。
              • by Anonymous Coward

                いや,そうまでは申しませんが,「そもそも…」という言明に対して,「いや,SSL があるから大丈夫だ」と反論されたようでしたので,「SSL が解決するのは,問題の一部だけだ」と申し上げたまでです。

                あのねえ、議論の流れ把握してる? 最初の人は、「俺は困らない。大事なことにインターネットを使う奴の気が知れん」って言ったわけ。なぜかと問いただしたら、「インターネットなんかそもそも仕様からして安全じゃない」って言うわけ。じゃあどういうネットなら安全なのさ。iモードみたいなキャリア企業独占の世界でいいわけ?自由に相互につなげるネットにしたら必ず今のインターネ

              • by jbeef (1278) on 2002年01月27日 0時06分 (#57547) 日記
                接続先ドメインと,相手が持っている証明書に書かれているドメイン名とが一致している (略) ということだけで,それ以上でもそれ以下でもありません。

                それは違うでしょう。

                高島屋の例を用いるなら、 https://www.takashimaya.co.jp/ [takashimaya.co.jp] にアクセスすれば、鍵アイコンが現れ、そこをクリックして、サーバ証明書の内容を確認すると、「サブジェクト」という欄に、

                CN = www.takashimaya.co.jp
                OU = TVM1
                O = TAKASHIMAYA CO., LTD.
                OU = Member, VeriSign Trust Network
                OU = Authenticated by VeriSign Japan K.K.
                OU = Terms of use at www.verisign.co.jp/RPA (c)00
                L = Naniwa-ku
                S = Osaka
                C = JP
                と書かれているのを確認できます。この社名と所在地は、この証明書を発行した認証局で一定の基準によって審査されているものです。 本来、ユーザは、これを確認できない限り信用しないように心がけねばならないことになっています。

                P.S. 証明書のこの部分、日本語も使えるようになっているべきだけど、国際化はどうなっているのだろう…?

                親コメント
              • じゃあどういうネットなら安全なのさ。iモードみたいなキャリア企業独占の世界でいいわけ?自由に相互につなげるネットにしたら必ず今のインターネットと同じ問題が出てくるんじゃないの?サーバがお目当ての組織が本当に運営している物かってのは、SSLのサーバ証明書の発行先を見てユーザが確認する。この仕組みは、今インターネットをやめて、他の方式にしたって原理は同じだろうさ。
                という言葉を、#57301 [srad.jp]に最初から書いていれば、議論はもっとスムーズに進んだでしょうね。ご自分の言葉足らずを/.Jのレベルの低さのせいにするのなら、もっとどこかレベルの高いところで議論なさって下さい。
                親コメント
              • by nak (5484) on 2002年01月27日 11時59分 (#57622) ホームページ 日記
                高島屋の例を用いるなら、 https://www.takashimaya.co.jp/ にアクセスすれば、鍵アイコンが現れ、そこをクリックして、サーバ証明書の内容を確認すると、「サブジェクト」という欄に、
                 参考までにお聞きしたいのですが、これって今の所、ブラウザに依存した機能のような気がするのですが、こういった表示をしなさいってどっかで決まってるのでしょうか?
                 で、そういう決まりがあれば、このような表示が行えないブラウザも一種のセキュリティホールと言っても良いのかな?
                (利用者が安全の確認を行えないと言う意味で)

                 もし決まりが無いのなら、SSLそのものの話ではなく、そう言うブラウザもあるので、そっちの方が安全です、ってだけの話ですか?
                親コメント
              • by Anonymous Coward
                もし決まりが無いのなら、SSLそのものの話ではなく、
                「SSLそのものの話ではない」というのは、どういう意味ですか?
              • by nak (5484) on 2002年01月27日 17時03分 (#57665) ホームページ 日記
                「SSLそのものの話ではない」というのは、どういう意味ですか?
                 ここまでのコメントを読むと、SSLでは証明書の内容(で良いのかな?)をユーザに提示することで、承認局を信じて正しいと判断するのだと思いますが、この証明書の表示が出来ないブラウザもあります。
                (少なくとも私が今使ってる、WinCE3.0のInernetExplorer4.01では表示機能が無い)

                 なんらかの形で証明書の内容表示が義務付けられているのであれば、表示しないブラウザが悪いと思います。

                 しかし決められていないのであれば、表示するのはSSLとは関係無くブラウザの親切なのではないか?と思ったのですが。
                 この場合、ユーザーは自分で表示出来るブラウザを選べるよう学習しなくてはならない訳ですよね。
                親コメント
            • by Anonymous Coward
              たとえば、今たまたま日本とアメリカをつなぐ線が全て切れたとすると、あなたは何かしらの業務が停止するでしょう。 そのときに誰に対して文句を言うつもりなんだろう??? インターネットなんて、そんなもんでしょ?
              • by Anonymous Coward
                たとえば、今たまたまあなたの家と銀行をつなぐ道路が全て工事中になったとすると、あなたは何かしらの業務が停止するでしょう。そのときに誰に対して文句を言うつもりなんだろう???道路なんて、そんなものですか?
              • by Stahl (7211) on 2002年01月26日 4時40分 (#57424)
                道路行政に文句を言いましょう(笑
                文句を言う、それに責任を持って対処する(タテマエの)組織なり
                が存在するか否か。

                大きな違いだと思うが。
                親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...