アカウント名:
パスワード:
それに、一週間に何度もといわれてますが、ユーザーの操作なしに外部からつかれる 脆弱性ってそんなにありました? ほとんどが添付ファイル実行したりしないといけないものだと思ったんだけど違ったかな?
8月世をさわがした Blaster はユーザが何もしなくても被害に遭うやつですよね。 また、最近のパッチで対象となった脆弱性については詳しくはないですが、1日に何百通もメイルを処理する身の場合、添付されているファイルを開いて大丈夫かどうかの判断を1日何百回も繰り返さないといけないわけです。メイルが単なる通
プレーンテキストのメールで問題があるような脆弱性ってありました?
つまりはそういうことです。 世の中、プレーンテキストメイルだけなら、ここまで問題は大きくならず、電話と同じくらい安心して使えるものになっていたでしょう。 ですが、どこかの誰かさんが、HTMLをデフォルトにしたり、クリックだけでどんな添付ファイルも開けるようにしてしまったり、単なるワープロの癖にスクリプトで余計な動作出来るようにしてしまった。たしかにそれによって提供される利便性はあるけれど、それによって引き起こされる危険性を無視、あるいは軽視していた。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
たとえば… (スコア:1, すばらしい洞察)
さらにその金庫からものが盗まれたら、製造元の責任は免れないですね。
ソフトウエアだけがそういう常識から外れていいという
なんかいつの間にか出来た暗黙の了解みたいなものは、
そろそろやめたほうがいいと思います…
Re:たとえば… (スコア:1)
そのソフトウェアを自分の所有するハードウェアに適用するかは各ユーザなり
バンドルするハードウェアメーカーなりの判断で、その結果脆弱性が発生した
Re:たとえば… (スコア:1, 参考になる)
1週間に何度もメンテしないといけない製品というものが、この世の中で商品として存在していること自体が異常だと思います。
第三者とかクラッカーがどうのこうの、というのは別の問題かと。
#まあそう考えれば、MSがテレビ
Re:たとえば… (スコア:1)
などという屁理屈はおいておくとして
MSがWindowsにセキュリティ上の問題がまったくないといったことってあったっけ?
EULAにも壊れても責任とれないよとかかれているわけで、シュリンクラップ契約になって
なければそれを適用し
Re:たとえば… (スコア:1, すばらしい洞察)
8月世をさわがした Blaster はユーザが何もしなくても被害に遭うやつですよね。
また、最近のパッチで対象となった脆弱性については詳しくはないですが、1日に何百通もメイルを処理する身の場合、添付されているファイルを開いて大丈夫かどうかの判断を1日何百回も繰り返さないといけないわけです。メイルが単なる通
Re:たとえば… (スコア:1)
RPC周りのパッチはそうですね。
けど、私の記憶ではこれは二つで、週3回にはなりません。
>また、最近のパッチで対象となった脆弱性については詳しくはないですが、1日に何百通もメイルを処理する身の場合、
>添付されているファイルを開いて大丈夫かどうかの判断を1日何百回も繰り返さないといけないわけです。
>メイルが単なる通信手段にもかかわらず、そこにそれだけ神経を使わざる得ないのは、本末転倒。
>電話やファックスを受けるのにそんな神経、普通使いませんよね。
プレ
Re:たとえば… (スコア:1)
つまりはそういうことです。
世の中、プレーンテキストメイルだけなら、ここまで問題は大きくならず、電話と同じくらい安心して使えるものになっていたでしょう。
ですが、どこかの誰かさんが、HTMLをデフォルトにしたり、クリックだけでどんな添付ファイルも開けるようにしてしまったり、単なるワープロの癖にスクリプトで余計な動作出来るようにしてしまった。たしかにそれによって提供される利便性はあるけれど、それによって引き起こされる危険性を無視、あるいは軽視していた。
Re:たとえば… (スコア:1)
おっしゃってる内容だと究極的には通信の検閲をすべきってことになりません?
安易に添付ファイルを開かない、怪しいバイナリは実行しない、
誰からかわからないワンギリにコールバックしない程度の自衛手段は
高度な知識が要求されるわけでもないんですから、検閲をうけるよりも
妥当だと思うんですが。
もちろん、BlasterやNIMDAといったリモートからユーザアクションをへずに
攻撃される穴がそれこそ週に3回も対応が必要だったり、ユーザアクションの
結果攻撃されるものであっても一切情報やパッチが流れないってのなら
問題だとは思いますが、現状はWindowsUpdateで一元的に配布されてる
わけですから、MSに全面的に問題があるとはいえないと思うのですが。
結局、道具なんだからユーザの使い方しだいってことなんですよね
電話だってとりこみ詐欺とかイタズラ電話とかあるわけですし、
包丁や車にいたっては人殺しもできる。イタズラ電話防止のために
紙で申請して相手の認可もらった先にしかつながらない電話とか、
事故や怪我防止のために切れない包丁やら時速10キロしかでない
車とかあっても不便なだけですし。同じように添付ファイルの使えない
メールとか、マクロの使えないエディタとかも不便じゃないかと
Re:たとえば… (スコア:1)
特に最後のが効いていて、自分だけじゃなんともできない。不用意に添付ファイルを送りつけてくる時はできるだけ相手に注意はしてますが、その数がやたら多い上、危険性を理解できる程ITに精通しているわけではない。なので、送られてきた添付ファイルは開かざるえない。
そこでちゃんと判断しろ、という話をしたいのかもしれませんが、1日に何百回もそれをしっかり判断する(しかも、メイルを読むことが本来の仕事ではない)というのが、どれくらい精神的に負担になるか、無駄であるかはわかりますよね。
なので、MSにはよけいなものをすべてオフにしてくれ、といいたいわけです。HTMLメイルも、office 製品の script の実行も。
Re:たとえば… (スコア:1)
MSオフィスって本来はローカルの信頼されたファイルを扱うためのものです。
また、添付ファイルはローカルに取り込んだ後は添付ファイルだったという属性は
もってません。
それがネットワークに対しても安全であることを要求するのはおかしいのでは?
室内に泥棒を招きいれて、鍵のかからないキャビネットの中身を盗まれて
キャビネットが悪いというようなものでは?
> OL や OE は、ワンクリックでワードファイルなどを表示(つまりそのなかに埋め込まれたスクリプトも)実行される。
これってプレビュでも実行されましたっけ?
本文を確認するだけならプレビュだけでも実行できたと思いますし、
プレビュで見るぶんには勝手に実行されないパッチってすでにでてません
でしたっけ?
私は、OLもOEもさわらなくなって久しいのではずしていたら確かにこの点は
問題ですね。
> ワードファイルなどを添付することが、Windows を使っている職場で常態化しており、1日にかなり多くの添付付きメイルを扱う必要がある。
これってWindowsの問題ですか?
送る人間と、よくわからない添付ファイルを疑いなく開く人間の問題で
Windowsとは関係なくユーザのリテラシの問題だと思うのですが。
こういったユーザはOSがWindowsだろうがUnixだろうがtronだろうが
同じように添付ファイルを使うと思います。