アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
事前調査はどこまで許されるのか? (スコア:2, 興味深い)
だれだって空騒ぎは起こしたくない。管理者に連絡するなどの行動に
移る前に、ある程度、本当にまずい設定になっているという確証を得たい、
と考えるのは自然なことだ。
その事前調査の過程で、たとえば意図した通りの POST リクエストを発行
するために HTML フォームを独自作成したり、その結果取得した CGI スクリプト
を読む、というのは、科学者として当然やるべきことをやる、という範疇から
逸脱しているようには思えない。
もし仮に、調査の過程で /etc/shadow みたいな情報を取得して、
Re:事前調査はどこまで許されるのか? (スコア:-1, 荒らし)
疑いがありますという連絡だけで十分。
ガーディアンエンジェルでも気取ってるつもりですか?
Re:事前調査はどこまで許されるのか? (スコア:3, 参考になる)
ソフトウェア作成者(特にフリーやシェア)、サーバー管理者などでバグやセキュリティホールが甘いところを指摘しあうのは自分が鯖管してた10年以上前からありました。ソフトに関してはもっと前からで気づいたころには草の根でも存在してました。
#今でもバグ報告掲示板などがたくさん機能してますよね
そしてそれが今まで非常に有益なものでした。
まともに外部に公表している鯖やシェアやフリーでソフトを出している人ならそれは当た
Re:事前調査はどこまで許されるのか? (スコア:0)
鏡に向かって言ってるのか?
悪いけど、この業界のその道で大方10年選手です。
で、「疑いがありますという連絡だけで十分。」と書いてあるだ
Re:事前調査はどこまで許されるのか? (スコア:1)
その現象や再現性ぐらいはきちんとレポートしてあげないとね
疑いで報告されても困ります。
管理者としてはまぁチェックするだろうけどさ・・・
報告者もチェックせずにレポートするのはだめでしょう
Re:事前調査はどこまで許されるのか? (スコア:2)
こういう声を/.Jでは何度か目にしましたが、自分に管理者としての経験が無い為か、今一つピンときません。
もし「お宅の会社に爆弾が仕掛けられてるかもしれないよ」と警告されたら、即座に対応しますよね。警告されて放置して、爆破されたら目も当てられないですし。で、その結果警告が外れだと判明したら、次に警告者が悪意を持って嘘を伝えた可能性を有る限りの情報で判断し、その可能性を認めれば制裁(まあ警察に通報でしょうね)を検討、と。
セキュリティについての重要な指摘も同じ要領で対応(まず即調査)
Re:事前調査はどこまで許されるのか? (スコア:1)
たぶん自分とseothさんの「疑い程度」の認識が違うんでしょうね
たとえ話は本題をぼかしちゃうんでいやなんですが・・・
「あなたのサーバーはFTPが使われてるんでデフォルトのパス生
きてませんか?」見たいな話だと思ってます。
もしかしたらそんな穴はサーバー管理者がふさいでるかもしれな
いしふさいでないかもしれない。
実際にどのようにURLたたいたらこうなりました、バグでしょ
うか?ってなら話は別で重要な情報なんですが。
たとえ話でいえばサーバーなんてどっかに爆弾抱えてることが多
いんです。そして常時何らかの爆弾が
Re:事前調査はどこまで許されるのか? (スコア:2, 参考になる)
>者がらみのトラブル対処、そんな地雷たくさんの中仕事してると
>かも知れないレベルの指摘は後回しです
なるほど…セキュリティの欠陥を抱えるリスクと、管理体制を充実させるコストとを天秤にかけて、「余力がない状態が常、という程度に管理者を置こう」と判断をする会社も有るのですね。
他所に「片っ端から対応できるだけの充分な管理体制を布くようにしている」と匂わせるコメントも有るので、それぞれ一例として参考にさせて頂きます。
>>>私なら自分の安全を考えてそうしますね。
>自
Re:事前調査はどこまで許されるのか? (スコア:1)
鯖関連が本業でない企業での鯖管やら何やらなんですが、やはり
予算が厳しいです、こうゆう可能性があるから予算くれってのを
素人に説明して、効果として目先の売り上げや機能向上に関係な
いものに結構な予算を取る。例えば回線や鯖の二重化になるとしゃれに
ならない金額になりますんで上のほうも二の足を踏むんですよね。
「そんな最悪にならなければここまでいらんだろ、最低限にして
くれ」と・・・
機能向上とかになるとすんなり予算がつくんですが、やればよ
けい対処しないといけない幅が広がります
#自分の上司が嘆いてたの思い出します
#鯖開発系になると自由ですが引渡し後や開発終了後は厳しく
#なります、次の仕事が来てますからそれはほっとけんし
あと、これはいえるんですが、外部の人がチェックもせずにトラ
ブルと思われますって内容は
・どっかで知識をつけただけの素人かもしれない、指摘も対処済み
・表面的なものでしかなく重要度、危険度が低いため放置のもの
・潜在的アプリのバグ等ならば販売元やその他情報源から入手済み
がほとんどと思うんですよね。普通に触ってわかる範囲ですから。
勘と表面的動作で穴やバグがわかるなら・・・実地調査のほうが
手間と時間かかりますしね。そんな簡単なもんじゃないとおもい
ます、テスト工程を資料なしで実地なしでの結果データなんて普
通のアプリ開発でも提出したら殴られるようなものですからね
seothさんと違って自分の場合インターネットではじめの「みん
な仲良し」時代を鯖管で経験して、そんな重要なデータが置かれて
ないときの平和な学校時代の経験が大きいんで時代に即してない
んでしょうね
#やっぱ俺おやじだわ、社内システム系に移って正解だなっと
#個人情報結構出したんでちと・・・まぁ特定できる情報は出し
#てないが、これも気をつけないと(w