MS、セキュリティ対策に本気な証拠 27
ストーリー by wakatono
本気と書いてマジと読む 部門より
本気と書いてマジと読む 部門より
hogeratta 曰く、 "以前ここでも話題になったように、「機能よりセキュリティ重視」に戦略転換したMicrosoftですが、どうやらその影響が.NET Serverの出荷遅れという形で現れてくるようです。
過去、/.-Jで「本当に信じていいのか!?」とか「オオカミ少年にならなきゃいいけど…」等、さんざんな言われようだったMSのセキュリティ対策ですが、一応ちゃんとやっているみたいです。
「セキュリティ重視のため、W2K SP3(またはXP SP1)のリリースが遅れます」ということにはなったら本末転倒なので嫌ですが、1st releaseの製品が練り直されるのはよいことかと…。"
ここのところのMSの情報公開の姿勢は評価できる。あとは、それが現行製品の今後のサポートと新規リリース製品に反映されてくれれば。
元記事を見ると (スコア:5, すばらしい洞察)
---
現在,Microsoftのソフトウエア開発者は実質的にやり方をすべて変えて最新のセキュリティ技術を習得するように求められている。
---
だ、そうだ。
ということは、今までのやり方を「実質的に」「すべて」変えなければならないくらいダメダメだった、ということですね。
また、「最新のセキュリティ技術を習得するように求められている」ということは、「今までは最新のセキュリティ技術とは無縁な人たちだった」ということですね。
ということは、現場では、
「おい、オヤブンが今度は<セキュリティを重視せよ>だってよ」
「みんな、オレも含めてしばらくフロリダで遊んでこようか。で、わざと出荷を遅らせたら、なんか対策してるように見えるじゃん」
と、なっている可能性も否定はできない。
Re:元記事を見ると (スコア:1, 参考になる)
http://www.amazon.com/exec/obidos/ASIN/0735615888/
辺りは、必読書なのでしょうか?
私は、この辺勉強したことがありません。
この場を借りてFIY (スコア:3, 参考になる)
WindowsUpdateにも出現 (スコア:1)
WindowsUpdateでもSRPが現れました。
結構、対応早くなってきてるんじゃないですか。
あとは、あのパッチ当てるたびに再起動させられるのを なんとかしてくれたらなあ。
Re:この場を借りてFIY (スコア:0, 参考になる)
Re:この場を借りてFIY (スコア:1)
# ひょっとして本気?
Re:この場を借りてFIY (スコア:1)
間違い訂正で +1 モデレーションされる私の立場って...
「過ちをすぐに認めたその意気やよし、参考になる」
という意味なんでしょうか(T-T)
> モデレータ様
Re:この場を借りてFIY (スコア:0)
その上のmsサイトへのポインタにつけるつもりだった。
Re:この場を借りてFIY (スコア:1)
ご評価ありがとうございます。
って、OTにもほどがあるので、さらにFYI。
WinXP Home -> WinXP Proステップアップグレード [microsoft.com]
なんてのが出ました。Home プレインストール機なんかにどうでそ
ステップアップグレード (スコア:1)
その後にXP HomeのプリインストールPCを買ったユーザはどうしろと?
XP SEでもでるんでしょうか?
#そういや、USB2.0対応とかやることあるし、でるのかもしれない。
Re:この場を借りてFIY (スコア:0)
Fix It Yourself? :-)
本当に証拠になるのでしょうか (スコア:2, すばらしい洞察)
★田舎に生息する時代遅れのFortran&COBOLガイなオタク★
Re:本当に証拠になるのでしょうか (スコア:1)
セキュリティチェックに必要十分(十分だけでも同じ?)な方法があるかどうか、という議論はさておいて...
個人的には「過去の問題がfixされている(例えばこの件 [zdnet.co.jp]はこの製品では全て確認済とか)」事と「わかりきったソース上での問題(Buffer Overflow 等) がない事を確認できている」事だけでも宣言して欲しいなぁ。仮に「腕利きのクラッカー(って何だ?) 1000 人に 1 年間アタックしてもらって穴をチェックした」なんて言うより遥かに安心できるし :-)
# 宣言だけで実際チェック/fixしてないなんていうのは無しね ^^;
実際の動きは出てきたのかな (スコア:2, 参考になる)
どの程度のペースでやっていくのかを見守っていきたいですね。
いつもどおり (スコア:2, すばらしい洞察)
全社的に具体化するのか? (スコア:1)
Re:全社的に具体化するのか? (スコア:1)
宣言したからといって今まで作った物が突然化けるワケでもなく。企業体質云々はあると思いますけど、1,2世代は見た方がいいのでは。
*というか「利益のために何でも出来る」のが体質と思えば期待も出来たり。
*今も某黒字転換した大物コンテンツにOperaアクセスするとISAPI.dllが落ちてきてソース丸見えだったりする辺りには不安爆発ですけど。
訂正:ISAPI..dllの内容に問題は無し (スコア:1)
> *今も某黒字転換した大物コンテンツにOperaアクセスするとISAPI.dllが落ちてきてソース丸見え だったりする辺りには不安爆発ですけど。
ISAPI.dllの内容は処理後のHTMLソースでした。
また別にMSの問題でなく、運営者の問題と思われるワケで、撤回します。
失礼いたしました。。;
*以前のマイクロソフトのaspxのソース漏れネタとついかぶってしまいました、、^^;
Re:訂正:ISAPI..dllの内容に問題は無し (スコア:0)
こんなオチだったら... (スコア:1)
これから世に出す新しい製品のセキュリティに力を注ぎすぎたあまり、それが世に出るまでの最新製品の穴がいつまで立っても塞がりませんでした...ってオチになったりしないかなぁ。
その点では、Microsoftはpatchをすぐに出しているといいますが、その整理となるとド下手ですね。例えばSunだと、patchはただ出すだけに留まらず、それをまとめたclusterもすぐに更新してくれます。こういう方法なら、最新のclusterをとってくるだけで済んで楽です。Microsoftの場合、service packに新機能をつけてしまう手前、なかなかservice packを毎日更新するという方針がとれないんでしょうなぁ。
いままでも (スコア:1)
あと仕様的に拙い ActiveX といったのをどうするのかその辺りも含めて見えてこない内は模様眺めをしているしかないのでは。
セキュリティレベル向上 (スコア:1)
やっぱネットワーク上のセキュリティのことだよね? 個人的にはカーネルレベルからの見直しを期待したいんだけど、あすこまで大きくちゃ無理かもなぁ。
セキュリティ対策 (スコア:1)
じゃないんですか?
要するに不正コピーからM$製品を守る対策(ぉぃ
テストを強化しても (スコア:1)
仕様レベルから、やり直さないといけないと思うので、成果が見えるのには、3年はかかるでしょうねぇ。
今回のものにしても、管理者権限でないと動かない製品なんだろうし。
つか (スコア:0)
期待もいいですが、やはり結果で示してもらいましょう (スコア:0)
てなわけで、このような事態が起こらなくなって数年経つまでは信用する気になりません。というか、信用って地道な努力の結果を周囲が認めた証のことですよね。だから、今何か宣言されても聞く気になれません。
…というのが普通の人の感覚だと思うのですが。
Gatesはもうカリスマじゃないね (スコア:0)
彼の一言ではもう誰も信用しない。
強いて言えば「地に落ちた」カリスマですか。
あるいは「昔の」カリスマ。
ダイエーの中内さんとそう変わらんね。