すべてをHTTPで 17
ストーリー by wakatono
TCP80番ポート経由でみんな幸せ? 部門より
TCP80番ポート経由でみんな幸せ? 部門より
名乗り忘れた誰か曰く, "ジャストシステムからインターネットディスクのサービス更改の知らせがあったので、覗いてみると
使用するプロトコルをftpからhttpに換えました。ちょっと待ってくれ。いくら顧客の勤務先のセキュリティポリシーがきついからと言っても、それを反故にするようなシステムの提供は、まずいのではないか。
他にも実行プログラムをhttpでやりとりするものは見るけど、ついつい使ってしまうけど、正直びくびくものである。"
これって、FTP から WebDAV に変えたってだけじゃないのか?インターネットディスクじゃないけど、自分で使ってそれなりに快適だけどな。セキュリティの話はまた別だけど、ジャストシステムのサービスはどうなってるんだろ>このあたり
Appleも (スコア:2)
確かに何となく割り切れない物を感じたりして。
Re:Appleも (スコア:1)
どっちも第三者に内容を引っこ抜かれる危険性はあるし……。
fwを通してやりとりされること自体がまずい、という観点では、
WebDAVの場合はHTTPリクエストの種類自体を増やしているから(PROPFINDとか)、
proxyでふさぎたければHEAD,GET,POST以外のリクエストを通さないようにするだけでいいし、
そもそもファイル添付可能なWebmailのたぐいを中から使える方がよっぽどやばいよね?
でもなぁ・・・ (スコア:2, 参考になる)
どこかのポートを開けて独自のプロトコルを実装するより楽だしね
でもこれだけHTTPに偏るとセキュリティホールが見つかったとき
きっついだろうな。趣は違うけどIISでさんざん見せつけられてるように
FireWallじゃ防御しきれないから
Re:でもなぁ・・・ (スコア:4, すばらしい洞察)
(件のインターネットディスクに限らない話でいえば)結局、http のうえにアプリケーション独自のプロトコルを のせて動くことになるわけだから、現行の tcp にかわって http をつかうようなもの。一層上に上がっただけで、最終的にFireWallでセキュリティ云々の問題は解決されない。
それどころか、これまでならアプリケーションごとに違うportを使っているのが前提だったので、不要なportを閉じるだけでそれなりにセキュリティが確保できたのに、すべてが over http になったら、http の中身を見た上でフィルタリングする必要が生じて、FireWall 構築の費用が上がるということもわからんのだろうか。
Re:でもなぁ・・・ (スコア:1)
Re:でもなぁ・・・ (スコア:1)
RFC3093ですか…?(ちげー
いまいち理解できていないのですが,この問題と言うの (スコア:1)
(1) HTTP そのものの問題の場合。
仕様/実現方法のどちらの場合に対しても,
HTTPを転送に使う上位プロトコルに
問題があってもなくても,もちろん問題はそのまま残る。
(2) HTTP そのものには問題がない場合。
=その上位プロトコルが問題
・その上位プロトコルをホストが処理する場合
その上位プロトコルの実現方法の問題。
または,
HTTPの仕様に起因しない問題,であれば,
その上位プロトコル自体の問題。
または,
HTTPの仕様に起因する問題,であれば,
上位プロトコルの前提の問題。
つまり,
転送がHTTPだろうがなんだろうが関係ない。
☆
・その上位プロトコルをホストが処理しない場合
(1) でない場合は,そのホストには元々関係ない。
☆で問題となった場合に,HTTPとその上位プロトコルを区別して,
遮断できないから問題,ということでよいのでしょうか?
と,言うことは,
悪くないものは区別してやる必要がないですから,
元々その上位プロトコルがやろうとしていたこと,
そのものが悪いことだ,と言うことですね!
-- LightSpeed-J
Re:でもなぁ・・・ (スコア:2, すばらしい洞察)
あ、もしかするとSOAPでのWebサービス連携はプロが覚悟持ってやるからオッケーで、インターネットディスクは誰がどういう使い方をするかわからんからまずいのだろうか…。
Re:でもなぁ・・・ (スコア:2)
ssh + ftpとか(Windozeならwinscpとか)だと、もうちょっとクールなサービス提供ができたかも。
Re:でもなぁ・・・ (スコア:2, 参考になる)
個人でやるなら、トンネルという手もあります。80 番、もしくは http プロキシしか開いていなかったとしても、外部(グローバル)でラッパーをかましてくれる「協力者(ホスト)」さえいれば、どんなプロトコルでも通っちゃうんですよね。そんな一例として、httptunnel 。
わけわかプロトコルから内部のホストや帯域リソースを守る(衛る? 護る?)という観点からすれば、まさに本末転倒だけど、窮屈な環境に押し込められたときに有用であることは確かです。芸は身を助けるとでもいいましょうか、ネット的に閉じ込められている方はお試しあれ。
httptunnel (スコア:2)
"-"が入っているのと入っていないという違いがあるから良いのか・・・
Re:でもなぁ・・・ (スコア:1)
いきなりオフトピなんですが (スコア:1)
大変なんだなぁって思うんですよね。
なにも知らないひとたちのパワーって、怖いだろうなぁ、って。
サポセン(オフトピ:-1) (スコア:2, 参考になる)
(まぁ、どこのサポートもそうでしょうが)
歴史ある? Softwareの為かユーザー層が40~50の男性と、
Sotec買った奥様層が大部分だそうな。
サポートの電話をシステム化して統合したら、その電話の
かけ方がわかんなくて、人が出る部署(たとえば代表とか)の
電話がガンガンなるわ、会社にPCごと持ち込むユーザーが
頻発するわ。。。
よ○さんがんばってください(爆)
Re:サポセン(オフトピ:-1) (スコア:2, すばらしい洞察)
こういう人たち、場合によっては私が生まれる前からパソコンを利用しているのに、なぜか使い方が下手だな。
char *A;
モータースポーツ部 [slashdot.jp]
Re:いきなりオフトピなんですが (スコア:1)
ATOKsyncはftpのままか…… (スコア:1)
会社と自宅で同じ単語を二度辞書登録するのは不毛なので是非使いたいのだけど、職場のftp gwと相性が悪く使用を断念した過去が。
あ、サポートの対応自体はかなり誠実でした。
#なんせATOK5時代からVJE,WX2……と渡り歩いてきたユーザー辞書だし。