パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ホワイトハッカーってなんだろう」記事へのコメント

  • by bugbird (4706) on 2002年03月01日 0時18分 (#67542) ホームページ 日記

    > 擬似アタックを行うことで技術の進歩に貢献している技術者

    ライブというか実用に供しているシステムでこういう 「パフォーマンス」をやる時点で終わっていると思う。

    前の会社で「これこれしかじかだからセキュリティは確保できない」 と宣言したら、ディーラのエンジニアは「じゃ、ハックして実証して ください」と言ってのけましたよ。もちろん速攻で「そんなことは できない」と拒否してますが。

    いや、簡単にクラックできたんですけどね。失敗すれば「あいつは 口先だけ」、成功すれば「あいつは危険」というわけですよ。どっち に転んだってこっちがワリを食うわけ。技術力じゃなくて政治力・ 戦略の最たるものですな。さすがディーラ。歴戦のツワモノじゃん とは思ったけど。

    ま、結局は私が脆弱性を指摘してから一年ともたず、目一杯 MTA の 踏み台にされちゃったんですが(笑)。こうした背景を考えれば 『ホワイトハッカー? それって食べられるの?』ってなもんです。

    「擬似アタック」なんてのはレトリックです。できあいの消防訓練 なんです。「やらないよりはまし」だけど「やっていれば『OK』」 なんてのは完全な錯誤。「ファイアウォール設置すれば安全」という 盲信と同じレベルですね。

    無知・無関心なエグゼクティブから、本来必要な予算枠を確保させる ためのパフォーマンスとしては、有効… という余地はあるかも しれません(爆)

    --
    --- Toshiboumi bugbird Ohta
    • by mark (4383) on 2002年03月01日 0時54分 (#67549)
      > 『ホワイトハッカー? それって食べられるの?』

      サクマドロップスのハッカって白いですよね :-)

      #ごめんなさいごめんなさいごめんなさいごめんなさい
      親コメント
    • by Anonymous Coward on 2002年03月01日 1時04分 (#67550)
      別にハックしてるわけじゃないけど、
      Etherealでネットワークを監視してると、
      メールのパスワードとかみえちゃうんだよね。
      管理者だからパスワードは元々知ってるし、、、

      なんか、犯人探すために盗聴してたら関係ない人の話まで
      聞いちゃってるような気がして、一人で気まずい思いしてる。

      セキュリティー確保のための行為≠ハッキング

      って図式の中で、サーバーやネットワーク管理者の仕事って
      グレーゾーンになってるところって多くありません?
      規則をつくるにも決定権のある上司は知識ないし、
      「Ethereal禁止」なんてヘタに言うと、「etherealって
      ネットワークがみれるソフトがあるんだ」なんて教えちゃうこと
      になるし、、、

      みなさんは(というかみなさんの会社は)どうしてます?
      親コメント
      • POP 関連限定で書きます。

        > メールのパスワードとかみえちゃうんだよね。

        管理者なら自分の権限でとりあえず APOP に移行とかの手段を取れるのでは?
        今はもっといろんな手がありますよね?
        # 平文で保存する APOP サービスとかあったなあ。

        ま、政治層(でしたっけ?)の障壁で今すぐはできないってのはありがちかな。

        > 管理者だからパスワードは元々知ってるし、、、

        これはどういうことでしょうか?
        わたしは大昔、短期間ですが管理人をやっていたときは、乱数(乱文字列?)生成して渡していました。利用者当人さえ覚えられないようなのが出るので、多数出すこっちはおぼえようがありませんです :-)
        # とても覚えられないから利用者が自分でパスワードを変更する、の誘発を狙ったが、多くがわたしたポストイットをそのまま貼り付けていたりするのに失望して管理人を降りた(うそだ、クビになったんだ)
        親コメント
        • しかも最近のメーラには「パスワードを保存する」という機能がついているもんだから、昨年の4月に与えた「初期」パスワードがそのまま保存されていたりする。パスワードを変更するインタフェースは与えてあるのに、全くもってほとんど変更されていない…。
          やっぱり何処かからくらっきゅしてもらわなきゃダメかしらん。
          親コメント
    • 「ホワイトハッカー」っていうより「タイガーチーム」って呼んでませんでした?こういう擬似攻撃部隊のこと。

      >失敗すれば「あいつは口先だけ」、成功すれば「あいつは危険」というわけですよ。

      ん?「技術を持ったエンジニア」って評価はもらえないんですか?
      一般商社ならともかく、技術を売り物にしている会社だったら同僚から一目おかれるくらいの対応をもらえないものでしょうか?
      親コメント

アレゲは一日にしてならず -- アレゲ研究家

処理中...