パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • 「自社のサーバ構造などを公開法廷で話すと・・」みたいなことを 平気で言っちゃう所に セキュリティの教育受けてないんだろうなってのが垣間見えますね。 これって隠蔽によるセキュリティ (security through obscurity) でしょ? 特にコンピュータとか web の情報の場合、 隠蔽によるセ [linux.or.jp]
    • by Anonymous Coward on 2004年07月01日 18時34分 (#580469)
      パスワードは一般的に隠蔽されてますが、セキュリティ的に無意味なんですか?
      何でもかんでも「隠蔽は無意味」とか言ってると、セキュリティの教育を受けてないんだろうなってのが垣間見えますよ。

      サーバの構造を非公開とすることによって、不正侵入を企てようとする者は、サーバの構成を知るために(既に知っている場合に比べて)より多くの足跡を残す可能性が高まり、それだけ検挙につながる可能性が高くなります。
      無論、隠蔽だけで安全になるわけではありませんが、隠蔽が全く無意味な訳ではありません。

      親コメント
      • 訳の問題 (スコア:2, 参考になる)

        by j3259 (7093) on 2004年07月01日 21時06分 (#580544) ホームページ 日記
        隠蔽という言葉が独り歩きしていますが、 これは obscurity への(一部で使われている)訳です。 obscure ってのは、不明瞭、解しがたい、人目につかない、おおい隠す、わかりにくくする、などの意味があって、obscurity はその行為です。鍵をかけるってよりは、誰にもその存在を教えないことによって得られるセキュリティっていう感じでしょうか。

        別の枝でも補足しましたが、obscurity に頼ったセキュリティは全体としてセキュリティがないも同然という話です。

        余談ですが、パスワードも一つでも弱いのがあると、システム全体の脆弱性になります。一般のユーザに設定させると、辞書語と数字の組み合わせを選ぶことが多く、制限や監視がなければクラックできます。

        自動生成された長いランダムなパスワードをユーティリティで保存して使うか、非対称暗号を使うなど方法が勧められており、 従来の「パスワード」によって得られるセキュリティはだんだん 無いよりはマシだけど安全ではないってレベルになってきてると思います。

        親コメント
      • by Anonymous Coward on 2004年07月01日 19時12分 (#580491)
        教育など必要ありません。同化すれば全ての情報は共有できるのですから。

        「我々はスーパーハカー。隠蔽は無意味だ」

        #ちゃちゃなのでAC
        親コメント
      • > サーバの構造を非公開とすることによって、不正侵入を企てようとする者は、サーバの構成を知るために(既に知っている場合に比べて)より多くの足跡を残す可能性が高まり、それだけ検挙につながる可能性が高くなります。
        > 無論、隠蔽だけで安全になるわけではありませんが、隠蔽が全く無意味な訳ではありません。

        パスワードなどがかかっていたのならともかく、ファイル名をスキャンするだけならそもそも検挙できるのかねえ?
        って、今回したのか!?
        親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...