アカウント名:
パスワード:
> 擬似アタックを行うことで技術の進歩に貢献している技術者
ライブというか実用に供しているシステムでこういう 「パフォーマンス」をやる時点で終わっていると思う。
前の会社で「これこれしかじかだからセキュリティは確保できない」 と宣言したら、ディーラのエンジニアは「じゃ、ハックして実証して ください」と言ってのけましたよ。もちろん速攻で「そんなことは できない」と拒否してますが。
いや、簡単にクラックできたんですけどね。失敗すれば「あいつは 口先だけ」、成功すれば「あいつは危険」というわけですよ。どっち に転んだってこっちがワリを食うわけ。技術力じゃなくて政治力・ 戦略の最たるものですな。さすがディーラ。歴戦のツワモノじゃん とは思ったけど。
ま、結局は私が脆弱性を指摘してから一年ともたず、目一杯 MTA の 踏み台にされちゃったんですが(笑)。こうした背景を考えれば 『ホワイトハッカー? それって食べられるの?』ってなもんです。
「擬似アタック」なんてのはレトリックです。できあいの消防訓練 なんです。「やらないよりはまし」だけど「やっていれば『OK』」 なんてのは完全な錯誤。「ファイアウォール設置すれば安全」という 盲信と同じレベルですね。
無知・無関心なエグゼクティブから、本来必要な予算枠を確保させる ためのパフォーマンスとしては、有効… という余地はあるかも しれません(爆)
「ホワイトハッカー」っていうより「タイガーチーム」って呼んでませんでした?こういう擬似攻撃部隊のこと。
そういえば,タイガーチーム,なんてのもありましたね.
「タイガーチーム」の困るところは,
侵入に成功した場合は,弱点がある
侵入できなかった場合,弱点は存在しない
まぁ,アタックする側の技量にもよるバラツキ,というのも大きいとは思いますが.
ベンダはずしに利用された例と見ることもできますな [srad.jp]。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
「ネガティブ」 (c) スポック氏 (スコア:5, すばらしい洞察)
> 擬似アタックを行うことで技術の進歩に貢献している技術者
ライブというか実用に供しているシステムでこういう 「パフォーマンス」をやる時点で終わっていると思う。
前の会社で「これこれしかじかだからセキュリティは確保できない」 と宣言したら、ディーラのエンジニアは「じゃ、ハックして実証して ください」と言ってのけましたよ。もちろん速攻で「そんなことは できない」と拒否してますが。
いや、簡単にクラックできたんですけどね。失敗すれば「あいつは 口先だけ」、成功すれば「あいつは危険」というわけですよ。どっち に転んだってこっちがワリを食うわけ。技術力じゃなくて政治力・ 戦略の最たるものですな。さすがディーラ。歴戦のツワモノじゃん とは思ったけど。
ま、結局は私が脆弱性を指摘してから一年ともたず、目一杯 MTA の 踏み台にされちゃったんですが(笑)。こうした背景を考えれば 『ホワイトハッカー? それって食べられるの?』ってなもんです。
「擬似アタック」なんてのはレトリックです。できあいの消防訓練 なんです。「やらないよりはまし」だけど「やっていれば『OK』」 なんてのは完全な錯誤。「ファイアウォール設置すれば安全」という 盲信と同じレベルですね。
無知・無関心なエグゼクティブから、本来必要な予算枠を確保させる ためのパフォーマンスとしては、有効… という余地はあるかも しれません(爆)
--- Toshiboumi bugbird Ohta
Re:「ネガティブ」 (c) スポック氏 (スコア:2, おもしろおかしい)
サクマドロップスのハッカって白いですよね :-)
#ごめんなさいごめんなさいごめんなさいごめんなさい
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
# 粉まみれだとソックリだから…
## 激しくオフトピ。
Re:「ネガティブ」 (c) スポック氏 (スコア:1, 興味深い)
Etherealでネットワークを監視してると、
メールのパスワードとかみえちゃうんだよね。
管理者だからパスワードは元々知ってるし、、、
なんか、犯人探すために盗聴してたら関係ない人の話まで
聞いちゃってるような気がして、一人で気まずい思いしてる。
セキュリティー確保のための行為≠ハッキング
って図式の中で、サーバーやネットワーク管理者の仕事って
グレーゾーンになってるところって多くありません?
規則をつくるにも決定権のある上司は知識ないし、
「Ethereal禁止」なんてヘタに言うと、「etherealって
ネットワークがみれるソフトがあるんだ」なんて教えちゃうこと
になるし、、、
みなさんは(というかみなさんの会社は)どうしてます?
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
> メールのパスワードとかみえちゃうんだよね。
管理者なら自分の権限でとりあえず APOP に移行とかの手段を取れるのでは?
今はもっといろんな手がありますよね?
# 平文で保存する APOP サービスとかあったなあ。
ま、政治層(でしたっけ?)の障壁で今すぐはできないってのはありがちかな。
> 管理者だからパスワードは元々知ってるし、、、
これはどういうことでしょうか?
わたしは大昔、短期間ですが管理人をやっていたときは、乱数(乱文字列?)生成して渡していました。利用者当人さえ覚えられないようなのが出るので、多数出すこっちはおぼえようがありませんです :-)
# とても覚えられないから利用者が自分でパスワードを変更する、の誘発を狙ったが、多くがわたしたポストイットをそのまま貼り付けていたりするのに失望して管理人を降りた(うそだ、クビになったんだ)
パスワードを変えないユーザ (スコア:1)
やっぱり何処かからくらっきゅしてもらわなきゃダメかしらん。
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
>失敗すれば「あいつは口先だけ」、成功すれば「あいつは危険」というわけですよ。
ん?「技術を持ったエンジニア」って評価はもらえないんですか?
一般商社ならともかく、技術を売り物にしている会社だったら同僚から一目おかれるくらいの対応をもらえないものでしょうか?
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
そういえば,タイガーチーム,なんてのもありましたね.
「タイガーチーム」の困るところは,
これは正しいが とは必ずしもいえない,ということ.まぁ,アタックする側の技量にもよるバラツキ,というのも大きいとは思いますが.
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
そういう会社なら「じゃ、ハックして実証してください」とは言わないだろうなぁ(^^;
Re:「ネガティブ」 (c) スポック氏 (スコア:2, すばらしい洞察)
ベンダはずしに利用された例と見ることもできますな [srad.jp]。
Re:「ネガティブ」 (c) スポック氏 (スコア:0)
難しいですね… え?だから地下に潜るのだって!?
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
一般的には「タイガーチーム」って、
開発者の中でも特に技術力のある人間を集めて作った、
(先行開発などのための)精鋭部隊のことをいうんじゃないか?
# mishimaは本田透先生を熱烈に応援しています