パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • by j3259 (7093) on 2004年07月01日 15時35分 (#580371) ホームページ 日記
    「自社のサーバ構造などを公開法廷で話すと・・」みたいなことを 平気で言っちゃう所に セキュリティの教育受けてないんだろうなってのが垣間見えますね。 これって隠蔽によるセキュリティ (security through obscurity) でしょ? 特にコンピュータとか web の情報の場合、 隠蔽によるセキュリティは, セキュリティ的には全く無意味 [linux.or.jp]ってことになってるのに。 サーバが知られてダメならソースコード公開してる Linux, BSD, etc.. はどうなる。サーバに何使ってるかなんてすぐバレるようなもんだし。
    • by Anonymous Coward on 2004年07月01日 15時44分 (#580377)
      たんに有識者を追い出して、事を有利にすすめる為の方便でしょ。
      親コメント
      • >たんに有識者を追い出して、事を有利にすすめる為の方便でしょ。

        場外乱闘よりわかりにくいのはなぜ?
      • なぜ、こんなコメントにプラスモデ?

        いいかい、裁判が非公開になる前は"法廷に"有識者は
        いたのかい?非公開にして追い出された有識者は誰?

        まあ、傍聴している有識者は追い出された感を持つ
        だろうけど、傍聴者が外でいくらなにを言ったって、
        判決をだす裁判官の耳には
    • by Anonymous Coward on 2004年07月01日 15時43分 (#580376)
      「隠蔽によるセキュリティ」というのは、隠蔽することで
      これで安全と思ってしまい、チェックが不十分になってしまう
      ことが弊害なのです。「隠蔽することそれすなわち悪」では
      ありません。

      また、実際問題ソース公開によって穴を付かれることはあるで
      しょうから、隠蔽もある程度のセキュリティ向上にはなり得ます
      (最終目的を穴がないことではなく、穴を付かれないこと、と定義
      した場合)。

      ソース公開というのは、短期的にはマイナスだけど、長期的には
      プラスになるかもよ、という戦略なのです。

      あと、世の中セキュリティが全てではありません。ソース公開に
      よりノウハウを盗まれたりする場合もあります。これはソース公開
      戦略のデメリットの一つと言えるでしょう。最終的にはメリットと
      デメリットを天秤にかけ、当事者が判断すべき事柄です。
      親コメント
      • なんだか論点が今回の件とはずれてるような…

        今回の件での隠蔽によるセキュリティって、ディレクトリ構造の隠蔽って意味なんじゃないんでしょうか?
        もちろん、もっと低水準な、実装依存のセキュリティもあるでしょうが…
        親コメント
      • 「隠蔽によるセキュリティ」というのは、隠蔽することで これで安全と思ってしまい、チェックが不十分になってしまう ことが弊害なのです。「隠蔽することそれすなわち悪」では ありません。
        書いたあとで、自分で補足入れようかと思ったけど、くどいなと思って止めといたんだけどやっぱ誤解を招いたかな。

        隠蔽することそのものは一応安全になるけど、 それでぐらつくようなセキュリティはセキュリティではない、 よって公開しても問題がないレベルのセキュリティにすべき、 よって公開しても問題がない、っていう話だと思います。 特に、情報っていうのは盗んでも、モノがなくなるわけじゃないんで、気付かないっていう性質も関係してると思います。

        オープンソース云々ってのは反例であって、世の中全てにオープンソースを勧めてるわけじゃないです。 オープンにしてもセキュアなような暗号化その他の技術が必要ではあるけど。

        親コメント
      • 違うでしょ~。隠蔽によるセキュリティは無意味と言えるくらい弱いから問題
        なのです。例えばデイレクトリ構造を隠蔽しているとしてパスを秘密鍵だと解
        釈すると、それは鍵としてどうですか?cgiのクエリー文字列にパスが含まれ
        たりしてたらどうですか?

        だから、

        >隠蔽することで
        >これで安全と思ってしまい、チェックが不十分になってしまう
        >ことが弊害なのです。「隠蔽することそれすなわち悪」では
        >ありません。

        これは全然関係ありません。んで、

        >オープンにしてもセキュアなような暗号化その他の技術

        これが鍵によるセキュリティの典型的な例。というわけ。
        親コメント
        • >違うでしょ~。隠蔽によるセキュリティは無意味と言えるくらい弱いから問題なのです。

          違います。ダメなプログラムは公開しても勝手に強くなってくれたりはしません。私の知る範囲では。

          隠すこともセキュリティの為になる方へ一票投じます。公開した方が…という論者には、それを検証する手段が増えるだけだという言葉を贈りたいと思います。
          --
          Copyright (c) 2001-2014 Parsley, All rights reserved.
          親コメント
          • by Anonymous Coward on 2004年07月01日 17時26分 (#580436)
            なんかサーバ構造の公開(って何?)とソフトウェアの(ソース?)公開がごっちゃになって、話がかみあっていませんよ。
            親コメント
            • > なんかサーバ構造の公開(って何?)とソフトウェアの(ソース?)
              > 公開がごっちゃになって

              セキュリティを考える上ではどちらも似たような情報だと
              思いますけど、区別する必要ありますか?
              • by Anonymous Coward on 2004年07月01日 18時22分 (#580466)
                この場合問題になっているのはまさに「サーバ構造の公開」
                の話であって、そこで「ソフトウェアのソースコードの公開」
                の話を持ってくるのはたとえ話以上の何物でもないと思います。

                # たとえ話はフレームのもとって言うじゃありませんか。
                親コメント
              • セキュリティを考える上ではどちらも似たような情報だと 思いますけど、区別する必要ありますか?

                議論に参加している方たちが(理想的には参加はしていないが読んでいる人達も)その前提で書いたり

              • わたしはサーバ構造の公開拒否に端を発した「隠蔽による
                セキュリティ」について書いているので、たとえ話をして
                いるつもりはないです。
              • >たとえ話をしているつもりはないです。

                裁判とは言ったつもりがなくても、読み取った人がどう解釈するかで決着します。
                --
                Copyright (c) 2001-2014 Parsley, All rights reserved.
                親コメント
              • 裁判は /. じゃなくて裁判所で行われるんですよ。
              • たとえ話がフレームのもとになるのと、元コメントのような苦しいこじつけをたとえ話と呼ぶのは関係ない話です。

                たとえ話という使いようによっては有用なメソッドのことを妙に貶めてませんか?

                #ここからまたフレームが発生したら、まさに「たとえ話」否定派の思うつぼにはまったという事に・・・。
          • >ダメなプログラムは公開しても勝手に強くなってくれたり
            >はしません。私の知る範囲では。

            勝手に強くなって欲しい…
            切に願う…

            ごめんなさい。IDです。
            --

            ----------------------------------------
            You can't always get what you want...
            親コメント
        • > 隠蔽によるセキュリティは無意味と言えるくらい弱い

          「隠蔽だけに頼ったセキュリティ」は特に隠蔽していた情報が
          外部に漏れてしまったときは致命的ですので、その通りだと
          思います。しかし今回の CGI の query にファイル名が入って
          いた、というのは「隠蔽によるセキュリティ」とは直接関係
          ないと思いますよ。

          で、なぜわたしの

          >>隠蔽することでこれで安全と思ってしまい、チェックが不十分に
          >>なってしまうことが弊害なのです。

          という主張が誤りなのか理解できません。

          > 例えばデイレクトリ構造を隠蔽しているとしてパスを秘密鍵
          > だと
      • office氏にセキュリティの不備を突かれた、サーバ管理能力の低いスタッフを使っているACCSの中の人ですか。
    • by Anonymous Coward on 2004年07月01日 18時34分 (#580469)
      パスワードは一般的に隠蔽されてますが、セキュリティ的に無意味なんですか?
      何でもかんでも「隠蔽は無意味」とか言ってると、セキュリティの教育を受けてないんだろうなってのが垣間見えますよ。

      サーバの構造を非公開とすることによって、不正侵入を企てようとする者は、サーバの構成を知るために(既に知っている場合に比べて)より多くの足跡を残す可能性が高まり、それだけ検挙につながる可能性が高くなります。
      無論、隠蔽だけで安全になるわけではありませんが、隠蔽が全く無意味な訳ではありません。

      親コメント
      • 訳の問題 (スコア:2, 参考になる)

        by j3259 (7093) on 2004年07月01日 21時06分 (#580544) ホームページ 日記
        隠蔽という言葉が独り歩きしていますが、 これは obscurity への(一部で使われている)訳です。 obscure ってのは、不明瞭、解しがたい、人目につかない、おおい隠す、わかりにくくする、などの意味があって、obscurity はその行為です。鍵をかけるってよりは、誰にもその存在を教えないことによって得られるセキュリティっていう感じでしょうか。

        別の枝でも補足しましたが、obscurity に頼ったセキュリティは全体としてセキュリティがないも同然という話です。

        余談ですが、パスワードも一つでも弱いのがあると、システム全体の脆弱性になります。一般のユーザに設定させると、辞書語と数字の組み合わせを選ぶことが多く、制限や監視がなければクラックできます。

        自動生成された長いランダムなパスワードをユーティリティで保存して使うか、非対称暗号を使うなど方法が勧められており、 従来の「パスワード」によって得られるセキュリティはだんだん 無いよりはマシだけど安全ではないってレベルになってきてると思います。

        親コメント
      • by Anonymous Coward on 2004年07月01日 19時12分 (#580491)
        教育など必要ありません。同化すれば全ての情報は共有できるのですから。

        「我々はスーパーハカー。隠蔽は無意味だ」

        #ちゃちゃなのでAC
        親コメント
      • > サーバの構造を非公開とすることによって、不正侵入を企てようとする者は、サーバの構成を知るために(既に知っている場合に比べて)より多くの足跡を残す可能性が高まり、それだけ検挙につながる可能性が高くなります。
        > 無論、隠蔽だけで安全になるわけではありませんが、隠蔽が全く無意味な訳ではありません。

        パスワードなどがかかっていたのならともかく、ファイル名をスキャンするだけならそもそも検挙できるのかねえ?
        って、今回したのか!?
        親コメント
    • ACCSも、セキュリティに対する自信なくしてるのか、脆弱性を直していないのか
      …どちらにしても、証人の発言には不可解な部分があるように思うのですが。

      親コメント
    • 「自社のサーバ構造などを公開法廷で話すと・・」みたいなことを 平気で言っちゃう所に セキュリティの教育受けてないんだろうなってのが垣間見えますね。

      どうしてそうも相手は馬鹿と自己定義したがるんだろ?もしかして負けた時に自己正当化したいだけ?他人事なのに。

      ちゅうか裁判当事者だったらそう思わさせられただけで相当マイナスなのでは?
      こういう発言の裏には当然弁護士なりへの相談があるん

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...