アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
プログラムに欠陥がなくても? (スコア:2, すばらしい洞察)
Re:プログラムに欠陥がなくても? (スコア:2, おもしろおかしい)
修正しているそばから改ざんする [nikkeibp.co.jp]というレベルの高い攻撃 [impress.co.jp]を仕掛けてくる、スーパーハカーによる
Re:プログラムに欠陥がなくても? (スコア:2, 興味深い)
かかわらず「犯人追跡」だの「侵入経路の特定」だの理由をつけて
サイトの運営を続けていたわけです。
顧客を危険に晒してるのに順番がおかしいです。
ナメきってると思いました。私はもう利用しません。
# 直
Re:プログラムに欠陥がなくても? (スコア:1)
>かかわらず「犯人追跡」だの「侵入経路の特定」だの理由をつけて
>サイトの運営を続けていたわけです。
サイトの運営を続けるのは、俺はそれ自体が悪だとは思えないけど。
既出の
Re:プログラムに欠陥がなくても? (スコア:1)
利用者側の判断として「パッチを当てているから大丈夫」ってのはいいでしょう。
サービス提供者側が「パッチを当てていれば大丈夫」と判断するのはどうなんでしょう。
もっと踏み込んで「パッチを当ててないやつが悪い」というニュアンスを感じます。
もちろんパッチを当ててないやつも少しは悪い、というか自業自得の面はあるでしょう。
だからといってサービス提供者側がそれをアテにするのは間違った態度です。
サービスを受ける側も
Re:プログラムに欠陥がなくても? (スコア:1)
>容易に想像がつくはずです(つかなきゃ馬鹿です)。
それはそうなんだけどさ、IEでも古い奴やパッチ当てて無い奴の中には、開いたページのエレメントをscriptで拾って他所に送信可能だよね。
これは容易に想像が付く問題だから、scriptは起動しないように切っておくべきだろうけど、必須のサイトは多く存在する。
そう言ったscript必須のサイトは閉鎖すべきなんですか?
カカクコムでの穴を突くパッチって、最近供給された奴じゃないよね。かなり以前でしょ。
俺は「信用済みサイト」以外
Re:プログラムに欠陥がなくても? (スコア:0)
「ウィルスを配信している」状態が分かった段階でサーバ停止して
別サーバたててお知らせ出すぐらいはやっても良かったんじゃないでしょうか?
大体、素人さん
Re:プログラムに欠陥がなくても? (スコア:1)
>別サーバたててお知らせ出すぐらいはやっても良かったんじゃないでしょうか?
「お知らせ出すぐらいは」ってのが難しいんじゃ?
お知らせの告知を出すと、ばれたと思われクラッカーが再攻撃してこない可能性もあるよね。
ログの削除と重なれば手口の特定が非常に難しくなるよ。
そうすると、停止したサーバーの再開は困難 => ネット専業だから廃業と言う流れに。
バランスを考えると「手口が判明しだい告知などの対処」がベストの様な気が俺はするね。
逆に、ウイルス配信で即停止すべ
Re:プログラムに欠陥がなくても? (スコア:0)
>手口の特定が非常に難しくなるよ。
>そうすると、停止したサーバーの再開は困難 => ネット専業だから廃業と言う流れに。
手口を特定する必要は必ずしも無いでしょ。
セキュリティの専門家を招集して既知の脆弱性や攻撃手法で攻撃をテストし、成功したらその穴埋め。それが終わったら建前上「穴は無くなった」と言えるので、サーバ運用再開。
犯人もきっちり対策が施されているかもしれな
Re:プログラムに欠陥がなくても? (スコア:1)
「既知の脆弱性や攻撃手法で攻撃をテスト」って、単なる一通り?
パッチ当てているか否かって問題ならばそれで直ぐ分かると思うが、CGIなどの不備って、そんな簡単に分かれば苦労しないと思うけど。
>しかし結果として“最高の対策”とは呼べない部分はあったと思う」(穐田社長)
http://www.itmedia.co.jp/news/articles/0505/25/news086.html
と言っているくらいなんだから、「最高の対策」
Re:プログラムに欠陥がなくても? (スコア:0)
信じるかどうかはまかせますが、存在しない [srad.jp]ようですよ。
そもそも、「最低限の対策」程度で今回のことは発生しないしな。
#「最低限の対策」の場合、別の要因で結果的に同様の事象が発生した可能性もあるが、
#それはあ
Re:プログラムに欠陥がなくても? (スコア:1)
「その通り」って、「SQLインジェクションによるものだった」ってこと?
仮にそうだったとすると、彼の無過失の主張は戯言なのかな?
それと、SQLインジェクションって情報流したのは情報の漏洩?情報の管理が出来ていないってことか?
まぁ、掲示板は読めるけど書けない現状(読み込みCGIは可)を考えると、書き込みの特殊文字の無効化をミスった感じは濃厚だけど、彼は無過失を主張するんだな。