アカウント名:
パスワード:
「隠蔽によるセキュリティ」というのは、隠蔽することで これで安全と思ってしまい、チェックが不十分になってしまう ことが弊害なのです。「隠蔽することそれすなわち悪」では ありません。
隠蔽することそのものは一応安全になるけど、 それでぐらつくようなセキュリティはセキュリティではない、 よって公開しても問題がないレベルのセキュリティにすべき、 よって公開しても問題がない、っていう話だと思います。 特に、情報っていうのは盗んでも、モノがなくなるわけじゃないんで、気付かないっていう性質も関係してると思います。
オープンソース云々ってのは反例であって、世の中全てにオープンソースを勧めてるわけじゃないです。 オープンにしてもセキュアなような暗号化その他の技術が必要ではあるけど。
セキュリティを考える上ではどちらも似たような情報だと 思いますけど、区別する必要ありますか?
議論に参加している方たちが(理想的には参加はしていないが読んでいる人達も)その前提で書いたり
サーバの構造を非公開とすることによって、不正侵入を企てようとする者は、サーバの構成を知るために(既に知っている場合に比べて)より多くの足跡を残す可能性が高まり、それだけ検挙につながる可能性が高くなります。 無論、隠蔽だけで安全になるわけではありませんが、隠蔽が全く無意味な訳ではありません。
別の枝でも補足しましたが、obscurity に頼ったセキュリティは全体としてセキュリティがないも同然という話です。
余談ですが、パスワードも一つでも弱いのがあると、システム全体の脆弱性になります。一般のユーザに設定させると、辞書語と数字の組み合わせを選ぶことが多く、制限や監視がなければクラックできます。
自動生成された長いランダムなパスワードをユーティリティで保存して使うか、非対称暗号を使うなど方法が勧められており、 従来の「パスワード」によって得られるセキュリティはだんだん 無いよりはマシだけど安全ではないってレベルになってきてると思います。
「自社のサーバ構造などを公開法廷で話すと・・」みたいなことを 平気で言っちゃう所に セキュリティの教育受けてないんだろうなってのが垣間見えますね。
どうしてそうも相手は馬鹿と自己定義したがるんだろ?もしかして負けた時に自己正当化したいだけ?他人事なのに。
ちゅうか裁判当事者だったらそう思わさせられただけで相当マイナスなのでは? こういう発言の裏には当然弁護士なりへの相談があるん
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
隠蔽によるセキュリティ (スコア:3, すばらしい洞察)
Re:隠蔽によるセキュリティ (スコア:3, すばらしい洞察)
Re:隠蔽によるセキュリティ (スコア:0)
場外乱闘よりわかりにくいのはなぜ?
Re:隠蔽によるセキュリティ (スコア:0)
いいかい、裁判が非公開になる前は"法廷に"有識者は
いたのかい?非公開にして追い出された有識者は誰?
まあ、傍聴している有識者は追い出された感を持つ
だろうけど、傍聴者が外でいくらなにを言ったって、
判決をだす裁判官の耳には
Re:隠蔽によるセキュリティ (スコア:1, 興味深い)
これで安全と思ってしまい、チェックが不十分になってしまう
ことが弊害なのです。「隠蔽することそれすなわち悪」では
ありません。
また、実際問題ソース公開によって穴を付かれることはあるで
しょうから、隠蔽もある程度のセキュリティ向上にはなり得ます
(最終目的を穴がないことではなく、穴を付かれないこと、と定義
した場合)。
ソース公開というのは、短期的にはマイナスだけど、長期的には
プラスになるかもよ、という戦略なのです。
あと、世の中セキュリティが全てではありません。ソース公開に
よりノウハウを盗まれたりする場合もあります。これはソース公開
戦略のデメリットの一つと言えるでしょう。最終的にはメリットと
デメリットを天秤にかけ、当事者が判断すべき事柄です。
Re:隠蔽によるセキュリティ (スコア:1)
今回の件での隠蔽によるセキュリティって、ディレクトリ構造の隠蔽って意味なんじゃないんでしょうか?
もちろん、もっと低水準な、実装依存のセキュリティもあるでしょうが…
Re:隠蔽によるセキュリティ (スコア:1)
隠蔽することそのものは一応安全になるけど、 それでぐらつくようなセキュリティはセキュリティではない、 よって公開しても問題がないレベルのセキュリティにすべき、 よって公開しても問題がない、っていう話だと思います。 特に、情報っていうのは盗んでも、モノがなくなるわけじゃないんで、気付かないっていう性質も関係してると思います。
オープンソース云々ってのは反例であって、世の中全てにオープンソースを勧めてるわけじゃないです。 オープンにしてもセキュアなような暗号化その他の技術が必要ではあるけど。
Re:隠蔽によるセキュリティ (スコア:1)
なのです。例えばデイレクトリ構造を隠蔽しているとしてパスを秘密鍵だと解
釈すると、それは鍵としてどうですか?cgiのクエリー文字列にパスが含まれ
たりしてたらどうですか?
だから、
>隠蔽することで
>これで安全と思ってしまい、チェックが不十分になってしまう
>ことが弊害なのです。「隠蔽することそれすなわち悪」では
>ありません。
これは全然関係ありません。んで、
>オープンにしてもセキュアなような暗号化その他の技術
これが鍵によるセキュリティの典型的な例。というわけ。
Re:隠蔽によるセキュリティ (スコア:1)
違います。ダメなプログラムは公開しても勝手に強くなってくれたりはしません。私の知る範囲では。
隠すこともセキュリティの為になる方へ一票投じます。公開した方が…という論者には、それを検証する手段が増えるだけだという言葉を贈りたいと思います。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:隠蔽によるセキュリティ (スコア:1, 興味深い)
Re:隠蔽によるセキュリティ (スコア:0)
> 公開がごっちゃになって
セキュリティを考える上ではどちらも似たような情報だと
思いますけど、区別する必要ありますか?
Re:隠蔽によるセキュリティ (スコア:2, すばらしい洞察)
の話であって、そこで「ソフトウェアのソースコードの公開」
の話を持ってくるのはたとえ話以上の何物でもないと思います。
# たとえ話はフレームのもとって言うじゃありませんか。
Re:隠蔽によるセキュリティ (スコア:0)
議論に参加している方たちが(理想的には参加はしていないが読んでいる人達も)その前提で書いたり
Re:隠蔽によるセキュリティ (スコア:0)
セキュリティ」について書いているので、たとえ話をして
いるつもりはないです。
Re:隠蔽によるセキュリティ (スコア:1)
裁判とは言ったつもりがなくても、読み取った人がどう解釈するかで決着します。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:隠蔽によるセキュリティ (スコア:0)
Re:隠蔽によるセキュリティ (スコア:0)
たとえ話という使いようによっては有用なメソッドのことを妙に貶めてませんか?
#ここからまたフレームが発生したら、まさに「たとえ話」否定派の思うつぼにはまったという事に・・・。
Re:隠蔽によるセキュリティ (スコア:1)
>はしません。私の知る範囲では。
勝手に強くなって欲しい…
切に願う…
ごめんなさい。IDです。
----------------------------------------
You can't always get what you want...
Re:隠蔽によるセキュリティ (スコア:0)
「隠蔽だけに頼ったセキュリティ」は特に隠蔽していた情報が
外部に漏れてしまったときは致命的ですので、その通りだと
思います。しかし今回の CGI の query にファイル名が入って
いた、というのは「隠蔽によるセキュリティ」とは直接関係
ないと思いますよ。
で、なぜわたしの
>>隠蔽することでこれで安全と思ってしまい、チェックが不十分に
>>なってしまうことが弊害なのです。
という主張が誤りなのか理解できません。
> 例えばデイレクトリ構造を隠蔽しているとしてパスを秘密鍵
> だと
Re:隠蔽によるセキュリティ (スコア:0)
Re:隠蔽によるセキュリティ (スコア:1, すばらしい洞察)
何でもかんでも「隠蔽は無意味」とか言ってると、セキュリティの教育を受けてないんだろうなってのが垣間見えますよ。
サーバの構造を非公開とすることによって、不正侵入を企てようとする者は、サーバの構成を知るために(既に知っている場合に比べて)より多くの足跡を残す可能性が高まり、それだけ検挙につながる可能性が高くなります。
無論、隠蔽だけで安全になるわけではありませんが、隠蔽が全く無意味な訳ではありません。
訳の問題 (スコア:2, 参考になる)
別の枝でも補足しましたが、obscurity に頼ったセキュリティは全体としてセキュリティがないも同然という話です。
余談ですが、パスワードも一つでも弱いのがあると、システム全体の脆弱性になります。一般のユーザに設定させると、辞書語と数字の組み合わせを選ぶことが多く、制限や監視がなければクラックできます。
自動生成された長いランダムなパスワードをユーティリティで保存して使うか、非対称暗号を使うなど方法が勧められており、 従来の「パスワード」によって得られるセキュリティはだんだん 無いよりはマシだけど安全ではないってレベルになってきてると思います。
Re:隠蔽によるセキュリティ(余計なもの (スコア:1, おもしろおかしい)
「我々はスーパーハカー。隠蔽は無意味だ」
#ちゃちゃなのでAC
Re:隠蔽によるセキュリティ (スコア:1)
> 無論、隠蔽だけで安全になるわけではありませんが、隠蔽が全く無意味な訳ではありません。
パスワードなどがかかっていたのならともかく、ファイル名をスキャンするだけならそもそも検挙できるのかねえ?
って、今回したのか!?
Re:隠蔽によるセキュリティ (スコア:1)
…どちらにしても、証人の発言には不可解な部分があるように思うのですが。
単なる駆け引きだろ? (スコア:0)
どうしてそうも相手は馬鹿と自己定義したがるんだろ?もしかして負けた時に自己正当化したいだけ?他人事なのに。
ちゅうか裁判当事者だったらそう思わさせられただけで相当マイナスなのでは?
こういう発言の裏には当然弁護士なりへの相談があるん