アカウント名:
パスワード:
それに、一週間に何度もといわれてますが、ユーザーの操作なしに外部からつかれる 脆弱性ってそんなにありました? ほとんどが添付ファイル実行したりしないといけないものだと思ったんだけど違ったかな?
8月世をさわがした Blaster はユーザが何もしなくても被害に遭うやつですよね。 また、最近のパッチで対象となった脆弱性については詳しくはないですが、1日に何百通もメイルを処理する身の場合、添付されているファイルを開いて大丈夫かどうかの判断を1日何百回も繰り返さないといけないわけです。メイルが単なる通
プレーンテキストのメールで問題があるような脆弱性ってありました?
なぜワンギリだけは「自衛手段を取るべき」で、それ以外はべきじゃないんですか? ワンギリだって、相手のアクションを前提としていますが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
たとえば… (スコア:1, すばらしい洞察)
さらにその金庫からものが盗まれたら、製造元の責任は免れないですね。
ソフトウエアだけがそういう常識から外れていいという
なんかいつの間にか出来た暗黙の了解みたいなものは、
そろそろやめたほうがいいと思います…
Re:たとえば… (スコア:1)
そのソフトウェアを自分の所有するハードウェアに適用するかは各ユーザなり
バンドルするハードウェアメーカーなりの判断で、その結果脆弱性が発生した
Re:たとえば… (スコア:1, 参考になる)
1週間に何度もメンテしないといけない製品というものが、この世の中で商品として存在していること自体が異常だと思います。
第三者とかクラッカーがどうのこうの、というのは別の問題かと。
#まあそう考えれば、MSがテレビ
Re:たとえば… (スコア:1)
などという屁理屈はおいておくとして
MSがWindowsにセキュリティ上の問題がまったくないといったことってあったっけ?
EULAにも壊れても責任とれないよとかかれているわけで、シュリンクラップ契約になって
なければそれを適用し
Re:たとえば… (スコア:1, すばらしい洞察)
8月世をさわがした Blaster はユーザが何もしなくても被害に遭うやつですよね。
また、最近のパッチで対象となった脆弱性については詳しくはないですが、1日に何百通もメイルを処理する身の場合、添付されているファイルを開いて大丈夫かどうかの判断を1日何百回も繰り返さないといけないわけです。メイルが単なる通
Re:たとえば… (スコア:1)
RPC周りのパッチはそうですね。
けど、私の記憶ではこれは二つで、週3回にはなりません。
>また、最近のパッチで対象となった脆弱性については詳しくはないですが、1日に何百通もメイルを処理する身の場合、
>添付されているファイルを開いて大丈夫かどうかの判断を1日何百回も繰り返さないといけないわけです。
>メイルが単なる通信手段にもかかわらず、そこにそれだけ神経を使わざる得ないのは、本末転倒。
>電話やファックスを受けるのにそんな神経、普通使いませんよね。
プレ
Re:たとえば… (スコア:1)
つまりはそういうことです。
世の中、プレーンテキストメイルだけなら、ここまで問題は大きくならず、電話と同じくらい安心して使えるものになっていたでしょう。
ですが、どこかの誰かさんが、HTMLをデフォルトにしたり、クリックだけでどんな添付ファイルも開けるようにしてしまったり、単なるワープロの癖にスクリプトで余計な動作出来るようにしてしまった。たしかにそれによって提供される利便性はあるけれど、それによって引き起こされる危険性を無視、あるいは軽視していた。
電話にたとえるなら、ワンギリにまつわるデマで、かけなおすだけで高額料金を請求される、というのがありましたが、もし携帯電話会社がデフォルトでダイヤルQ2のようなサービスを提供していて、かつ、その番号が一般の番号とわからないようになっていれば、デマがデマでなくなっていたかもしれません。もしそうなっていたら、今以上にワンギリは社会問題化して、電話会社はそれなりの対応をさせられていたんじゃないでしょうか?
電話やファックスの詐欺では、あきらかにこちらもアクションしているわけで、引っ掛かる方も自衛手段を取るべき、という論はわかりますが、携帯の着信歴へのかけ直しやメイルの添付ファイルを開く、という行為がすでに常態化している(送る方もそれを前提として送っている)以上、「クリックする方がわるい」というのは、問題の解決にならないと思うのですが。
なお、本文に本質的なことを書かず、添付ファイルを開かないと主旨がわからないようなメイルを送ってくるのは、Windows しかしらないユーザであることがほとんどです。
Re:たとえば… (スコア:0)
なぜワンギリだけは「自衛手段を取るべき」で、それ以外はべきじゃないんですか?
ワンギリだって、相手のアクションを前提とし
Re:たとえば… (スコア:1)
おっしゃってる内容だと究極的には通信の検閲をすべきってことになりません?
安易に添付ファイルを開かない、怪しいバイナリは実行しない、
誰からかわからないワンギリにコールバックしない程度の自衛手段は
高度な知識が要求されるわけでもないんですから、検閲をうけるよりも
妥当だと思うんですが。
もちろん、BlasterやNIMDAといったリモートからユーザアクションをへずに
攻撃される穴がそれこそ週に3回も対応が必要だったり、ユーザアクションの
結果攻撃されるものであっても一切情報やパッチが流れないってのなら
問題だとは思いますが、現状はWindowsUpdateで一元的に配布されてる
わけですから、MSに全面的に問題があるとはいえないと思うのですが。
結局、道具なんだからユーザの使い方しだいってことなんですよね
電話だってとりこみ詐欺とかイタズラ電話とかあるわけですし、
包丁や車にいたっては人殺しもできる。イタズラ電話防止のために
紙で申請して相手の認可もらった先にしかつながらない電話とか、
事故や怪我防止のために切れない包丁やら時速10キロしかでない
車とかあっても不便なだけですし。同じように添付ファイルの使えない
メールとか、マクロの使えないエディタとかも不便じゃないかと
Re:たとえば… (スコア:1)
あの、前の文章、理解しているでしょうか?
現状のワンギリは「自衛手段」をとりやすい、つまり、わざわざ自分の住所やらなんやらを教えないと、法外な請求はこない。
ですが、*もし*、携帯電話会社がダイヤル Q2 になんの警告や確認もなくかけることができ、また、電話番号もそれとわからない番号の場合、その「自衛手段」は難しくなる(見知らぬ番号にかけるだけで法外な料金を請求される)わけです。
幸いにして現在の携帯電話はそうはなっていません。つまり、自分の個人情報を自発的に相手に知らせなければ、ワンギリの金銭的被害にはあいません。(精神的被害にはあうかもしれませんが)
ですが、現在の Windows のOutlook はそうなってませんか?というのがわたしの論点です。
Re:たとえば… (スコア:1)
特に最後のが効いていて、自分だけじゃなんともできない。不用意に添付ファイルを送りつけてくる時はできるだけ相手に注意はしてますが、その数がやたら多い上、危険性を理解できる程ITに精通しているわけではない。なので、送られてきた添付ファイルは開かざるえない。
そこでちゃんと判断しろ、という話をしたいのかもしれませんが、1日に何百回もそれをしっかり判断する(しかも、メイルを読むことが本来の仕事ではない)というのが、どれくらい精神的に負担になるか、無駄であるかはわかりますよね。
なので、MSにはよけいなものをすべてオフにしてくれ、といいたいわけです。HTMLメイルも、office 製品の script の実行も。
Re:たとえば… (スコア:1)
MSオフィスって本来はローカルの信頼されたファイルを扱うためのものです。
また、添付ファイルはローカルに取り込んだ後は添付ファイルだったという属性は
もってません。
それがネットワークに対しても安全であることを要求するのはおかしいのでは?
室内に泥棒を招きいれて、鍵のかからないキャビネットの中身を盗まれて
キャビネットが悪いというようなものでは?
> OL や OE は、ワンクリックでワードファイルなどを表示(つまりそのなかに埋め込まれたスクリプトも)実行される。
これってプレビュでも実行されましたっけ?
本文を確認するだけならプレビュだけでも実行できたと思いますし、
プレビュで見るぶんには勝手に実行されないパッチってすでにでてません
でしたっけ?
私は、OLもOEもさわらなくなって久しいのではずしていたら確かにこの点は
問題ですね。
> ワードファイルなどを添付することが、Windows を使っている職場で常態化しており、1日にかなり多くの添付付きメイルを扱う必要がある。
これってWindowsの問題ですか?
送る人間と、よくわからない添付ファイルを疑いなく開く人間の問題で
Windowsとは関係なくユーザのリテラシの問題だと思うのですが。
こういったユーザはOSがWindowsだろうがUnixだろうがtronだろうが
同じように添付ファイルを使うと思います。
Re:たとえば… (スコア:0)
発番してれば口頭で教えなくても請求がくることもありましたが、なにか?
アクションを取らず無視してれば何も問題ありません、双方とも。
#いくばくかの精神的苦痛は感じるかもしれません、双方とも