パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • 「自社のサーバ構造などを公開法廷で話すと・・」みたいなことを 平気で言っちゃう所に セキュリティの教育受けてないんだろうなってのが垣間見えますね。 これって隠蔽によるセキュリティ (security through obscurity) でしょ? 特にコンピュータとか web の情報の場合、 隠蔽によるセ [linux.or.jp]
    • by Anonymous Coward
      「隠蔽によるセキュリティ」というのは、隠蔽することで
      これで安全と思ってしまい、チェックが不十分になってしまう
      ことが弊害なのです。「隠蔽することそれすなわち悪」では
      ありません。

      また、実際問題ソース公開によって穴を付かれることはあるで
      しょうから、隠蔽もある程度のセキュリティ向上にはなり得ます
      (最終目的を穴がないことではなく、穴を付かれないこと、と定義
      した場合)。

      ソース公開という
      • 違うでしょ~。隠蔽によるセキュリティは無意味と言えるくらい弱いから問題
        なのです。例えばデイレクトリ構造を隠蔽しているとしてパスを秘密鍵だと解
        釈すると、それは鍵としてどうですか?cgiのクエリー文字列にパスが含まれ
        たりしてたらどうですか?

        だから、

        >隠蔽することで
        >これで安全と思ってしまい、チェックが不十分になってしまう
        • >違うでしょ~。隠蔽によるセキュリティは無意味と言えるくらい弱いから問題なのです。

          違います。ダメなプログラムは公開しても勝手に強くなってくれたりはしません。私の知る範囲では。

          隠すこともセキュリティの為になる方へ一票投じます。公開した方が…という論者には、それを検証する手段が増えるだけだという言葉を贈りたいと思います。
          --
          Copyright (c) 2001-2014 Parsley, All rights reserved.

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...