アカウント名:
パスワード:
例えば、利用者が金融機関であればFISCのガイドラインに準拠していることが求められるんだけど、できるだけデータセンタと判らないようにしてね、という趣旨になってるの。その意図に忠実に従おうとすると、住所は非公開にして、外観も奇抜にできない。一方、ガイドラインを甘く解釈することも可能にはなっていて、Googleのように奇抜な外観や、Equinixのように住所を公開しても、望ましくはないけどガイドラインの違反にはならない。AmazonやMicrosoftは忠実なほうかな。住所を秘匿することなんて不可能だしそこまで求められてない。おおっぴらに公開するよりは非公開のほうが、より安全性が高くなるって考え方。それ自体は大した差ではないかもしれないけど、多数の項目で少しずつでも差をつけて、総合的には大きな違いになることが期待されてるの。
おおっぴらに公開するよりは非公開のほうが、より安全性が高くなるって考え方。
オープン(ソース)だからセキュリティが低下するって考え方が本当に遅れてるよね。金輪際リナックスを使わない [linux.srad.jp]と宣言して失笑を買ったエレコムと同じレベル。外務省が公開鍵の公開を拒否 [security.srad.jp]したりとかね。こういうところで外資系との差が出るよね。
大昔、LINUXで自宅Webサーバーを建てるために解説本を読んでいた時、攻撃者に脆弱性をつかれないようにするためにApacheのバージョンやOS情報を表示しない設定にする事が書かれていましたが、あなたはそういった情報もオープンにするべきという事なのですね?
どーでもいいよ脆弱性診断だと仕事してる感を出すために重箱の隅を楊枝でほじくるように指摘するけど対応優先度は最低ランクバージョンが分からなければ攻撃者は攻撃手法を片っ端から試すだけなのでパッチが当たってるかどうかの方が1000倍大事なのでそっちにリソース使うべき
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
データセンタの利用者側の要望なんだよ (スコア:3, 興味深い)
例えば、利用者が金融機関であればFISCのガイドラインに準拠していることが求められるんだけど、できるだけデータセンタと判らないようにしてね、という趣旨になってるの。その意図に忠実に従おうとすると、住所は非公開にして、外観も奇抜にできない。一方、ガイドラインを甘く解釈することも可能にはなっていて、Googleのように奇抜な外観や、Equinixのように住所を公開しても、望ましくはないけどガイドラインの違反にはならない。AmazonやMicrosoftは忠実なほうかな。
住所を秘匿することなんて不可能だしそこまで求められてない。おおっぴらに公開するよりは非公開のほうが、より安全性が高くなるって考え方。それ自体は大した差ではないかもしれないけど、多数の項目で少しずつでも差をつけて、総合的には大きな違いになることが期待されてるの。
Re: (スコア:-1)
オープン(ソース)だからセキュリティが低下するって考え方が本当に遅れてるよね。
金輪際リナックスを使わない [linux.srad.jp]と宣言して失笑を買ったエレコムと同じレベル。
外務省が公開鍵の公開を拒否 [security.srad.jp]したりとかね。
こういうところで外資系との差が出るよね。
Re:データセンタの利用者側の要望なんだよ (スコア:0)
大昔、LINUXで自宅Webサーバーを建てるために解説本を読んでいた時、
攻撃者に脆弱性をつかれないようにするためにApacheのバージョンやOS情報を表示しない設定にする事が書かれていましたが、
あなたはそういった情報もオープンにするべきという事なのですね?
Re: (スコア:0)
どーでもいいよ
脆弱性診断だと仕事してる感を出すために重箱の隅を楊枝でほじくるように指摘するけど対応優先度は最低ランク
バージョンが分からなければ攻撃者は攻撃手法を片っ端から試すだけなので
パッチが当たってるかどうかの方が1000倍大事なのでそっちにリソース使うべき