パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • 「自社のサーバ構造などを公開法廷で話すと・・」みたいなことを 平気で言っちゃう所に セキュリティの教育受けてないんだろうなってのが垣間見えますね。 これって隠蔽によるセキュリティ (security through obscurity) でしょ? 特にコンピュータとか web の情報の場合、 隠蔽によるセ [linux.or.jp]
    • by Anonymous Coward on 2004年07月01日 15時43分 (#580376)
      「隠蔽によるセキュリティ」というのは、隠蔽することで
      これで安全と思ってしまい、チェックが不十分になってしまう
      ことが弊害なのです。「隠蔽することそれすなわち悪」では
      ありません。

      また、実際問題ソース公開によって穴を付かれることはあるで
      しょうから、隠蔽もある程度のセキュリティ向上にはなり得ます
      (最終目的を穴がないことではなく、穴を付かれないこと、と定義
      した場合)。

      ソース公開というのは、短期的にはマイナスだけど、長期的には
      プラスになるかもよ、という戦略なのです。

      あと、世の中セキュリティが全てではありません。ソース公開に
      よりノウハウを盗まれたりする場合もあります。これはソース公開
      戦略のデメリットの一つと言えるでしょう。最終的にはメリットと
      デメリットを天秤にかけ、当事者が判断すべき事柄です。
      親コメント
      • なんだか論点が今回の件とはずれてるような…

        今回の件での隠蔽によるセキュリティって、ディレクトリ構造の隠蔽って意味なんじゃないんでしょうか?
        もちろん、もっと低水準な、実装依存のセキュリティもあるでしょうが…
        親コメント
      • 「隠蔽によるセキュリティ」というのは、隠蔽することで これで安全と思ってしまい、チェックが不十分になってしまう ことが弊害なのです。「隠蔽することそれすなわち悪」では ありません。
        書いたあとで、自分で補足入れようかと思ったけど、くどいなと思って止めといたんだけどやっぱ誤解を招いたかな。

        隠蔽することそのものは一応安全になるけど、 それでぐらつくようなセキュリティはセキュリティではない、 よって公開しても問題がないレベルのセキュリティにすべき、 よって公開しても問題がない、っていう話だと思います。 特に、情報っていうのは盗んでも、モノがなくなるわけじゃないんで、気付かないっていう性質も関係してると思います。

        オープンソース云々ってのは反例であって、世の中全てにオープンソースを勧めてるわけじゃないです。 オープンにしてもセキュアなような暗号化その他の技術が必要ではあるけど。

        親コメント
      • 違うでしょ~。隠蔽によるセキュリティは無意味と言えるくらい弱いから問題
        なのです。例えばデイレクトリ構造を隠蔽しているとしてパスを秘密鍵だと解
        釈すると、それは鍵としてどうですか?cgiのクエリー文字列にパスが含まれ
        たりしてたらどうですか?

        だから、

        >隠蔽することで
        >これで安全と思ってしまい、チェックが不十分になってしまう
        >ことが弊害なのです。「隠蔽することそれすなわち悪」では
        >ありません。

        これは全然関係ありません。んで、

        >オープンにしてもセキュアなような暗号化その他の技術

        これが鍵によるセキュリティの典型的な例。というわけ。
        親コメント
        • >違うでしょ~。隠蔽によるセキュリティは無意味と言えるくらい弱いから問題なのです。

          違います。ダメなプログラムは公開しても勝手に強くなってくれたりはしません。私の知る範囲では。

          隠すこともセキュリティの為になる方へ一票投じます。公開した方が…という論者には、それを検証する手段が増えるだけだという言葉を贈りたいと思います。
          --
          Copyright (c) 2001-2014 Parsley, All rights reserved.
          親コメント
          • by Anonymous Coward on 2004年07月01日 17時26分 (#580436)
            なんかサーバ構造の公開(って何?)とソフトウェアの(ソース?)公開がごっちゃになって、話がかみあっていませんよ。
            親コメント
            • > なんかサーバ構造の公開(って何?)とソフトウェアの(ソース?)
              > 公開がごっちゃになって

              セキュリティを考える上ではどちらも似たような情報だと
              思いますけど、区別する必要ありますか?
              • by Anonymous Coward on 2004年07月01日 18時22分 (#580466)
                この場合問題になっているのはまさに「サーバ構造の公開」
                の話であって、そこで「ソフトウェアのソースコードの公開」
                の話を持ってくるのはたとえ話以上の何物でもないと思います。

                # たとえ話はフレームのもとって言うじゃありませんか。
                親コメント
              • セキュリティを考える上ではどちらも似たような情報だと 思いますけど、区別する必要ありますか?

                議論に参加している方たちが(理想的には参加はしていないが読んでいる人達も)その前提で書いたり

              • わたしはサーバ構造の公開拒否に端を発した「隠蔽による
                セキュリティ」について書いているので、たとえ話をして
                いるつもりはないです。
              • >たとえ話をしているつもりはないです。

                裁判とは言ったつもりがなくても、読み取った人がどう解釈するかで決着します。
                --
                Copyright (c) 2001-2014 Parsley, All rights reserved.
                親コメント
              • 裁判は /. じゃなくて裁判所で行われるんですよ。
              • たとえ話がフレームのもとになるのと、元コメントのような苦しいこじつけをたとえ話と呼ぶのは関係ない話です。

                たとえ話という使いようによっては有用なメソッドのことを妙に貶めてませんか?

                #ここからまたフレームが発生したら、まさに「たとえ話」否定派の思うつぼにはまったという事に・・・。
          • >ダメなプログラムは公開しても勝手に強くなってくれたり
            >はしません。私の知る範囲では。

            勝手に強くなって欲しい…
            切に願う…

            ごめんなさい。IDです。
            --

            ----------------------------------------
            You can't always get what you want...
            親コメント
        • > 隠蔽によるセキュリティは無意味と言えるくらい弱い

          「隠蔽だけに頼ったセキュリティ」は特に隠蔽していた情報が
          外部に漏れてしまったときは致命的ですので、その通りだと
          思います。しかし今回の CGI の query にファイル名が入って
          いた、というのは「隠蔽によるセキュリティ」とは直接関係
          ないと思いますよ。

          で、なぜわたしの

          >>隠蔽することでこれで安全と思ってしまい、チェックが不十分に
          >>なってしまうことが弊害なのです。

          という主張が誤りなのか理解できません。

          > 例えばデイレクトリ構造を隠蔽しているとしてパスを秘密鍵
          > だと
      • office氏にセキュリティの不備を突かれた、サーバ管理能力の低いスタッフを使っているACCSの中の人ですか。

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...