アカウント名:
パスワード:
ルータで SSL 以外をブロックすれば
とか
結局、この種のシステムを作る場合は、ネットワークのセキュリティだけではなくて、端末の物理セキュリティ(鍵のかかる部屋に入れるとか)とか運用基準、監査まで込みで設計を行わないとだめ
とかちゃんと読んでnimさんの言おうとしてる
きちんと用途を考え、面倒さえ見れば、Windowsだってそれほど危険って訳でも無い。
なんで、問題は端末だと思う。
端末にWindowsの一般的PCを使うとすると、それこそ悪さの仕方が幾らでも思い付く。 やっぱクライアントは完全な専用機を使えば、そういう事は大分防げると思うのですけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
入れなかったらニュースぢゃぁないの? (スコア:0)
過去の報道等で明らかになっていたわけで、入れたのは
あたりまえなのでは?
入れなかったら、「雇われたハッカー」の腕が悪いか
今まで報道されていたほどに酷いものではなかった
ってことですよね?
-- - -- - --
Windowsだって時点でアウトだと思うのが業界の常識じゃぁないでしょうか?
Re:入れなかったらニュースぢゃぁないの? (スコア:3, 興味深い)
単純な例として、サーバを Windows 上の Apache として、ルータで SSL 以外をブロックすれば、例えば Linux / Apache のシステムとそう変わらないと思います。サーバアプリケーションの設計さえしっかりすれば、クライアントの脆弱性からの大幅な隔離は可能ですし。
また、クライアント側といういみなら、現在でも多くのシステムは Windows を使用してるわけです。
結局、この種のシステムを作る場合は、ネットワークのセキュリティだけではなくて、端末の物理セキュリティ(鍵のかかる部屋に入れるとか)とか運用基準、監査まで込みで設計を行わないとだめなので、もしそれがきちんとできていなかったとすれば総務省側の責任は重いでしょうし、それがあるのに無視していたとすれば自治体にも責めるべき点は多いと思います。
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
とか
とかちゃんと読んでnimさんの言おうとしてる
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
いやぁ、なるんじゃないのかなぁ?
「総務省側の責任は重い」「自治体にも責めるべき点は多い」という記法からして
とにかく「総務省の責任>>自治体の責任」にしたいようなので。
#そのつもりがなくてもにじみ出てるよ
Re:入れなかったらニュースぢゃぁないの? (スコア:1)
導入のイニシアティブをとって、設計を行ったのは総務省だと理解してます。そのとき、必要なセキュリティ上の要請をユーザが守っているかどうかをきちんとチェックするというところも設計に含まれるべきだと思っていますから。
セキュリティってそういうものじゃないですか?
誰も信用できない。正規ユーザも、管理者も、開発者も信用できないというところから始まるものだと思っています。もちろん実際にはトレードオフとか割り切りとか運用でカバーとかがあるわけですが。
今回の場合、「端末側の管理は自治体の責任(だから考えなくていい)」と思っていたとしたら、セキュリティというものを理解していないと思います。
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
同じ事象について、Aが守らなかったら「責任は重い」でBが守らなかったら「責めるべき点は多い」という偏りっぷりの話です。
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
NT系は結構存在してそうですが。
それらは全部アウトですか?
Re:入れなかったらニュースぢゃぁないの? (スコア:1)
# まじめにどこの業界の話だろう?
Re:入れなかったらニュースぢゃぁないの? (スコア:0)
きちんと用途を考え、面倒さえ見れば、Windowsだってそれほど危険って訳でも無い。
なんで、問題は端末だと思う。
端末にWindowsの一般的PCを使うとすると、それこそ悪さの仕方が幾らでも思い付く。
やっぱクライアントは完全な専用機を使えば、そういう事は大分防げると思うのですけどね。