MS、セキュリティ対策に本気な証拠

MS、セキュリティ対策に本気な証拠 27

ストーリー by wakatono 2002年01月31日 10時25分
本気と書いてマジと読む部門より

hogeratta 曰く、 "以前ここでも話題になったように、「機能よりセキュリティ重視」に戦略転換したMicrosoftですが、どうやらその影響が.NET Serverの出荷遅れという形で現れてくるようです。
過去、/.-Jで「本当に信じていいのか！？」とか「オオカミ少年にならなきゃいいけど…」等、さんざんな言われようだったMSのセキュリティ対策ですが、一応ちゃんとやっているみたいです。
「セキュリティ重視のため、W2K SP3（またはXP SP1）のリリースが遅れます」ということにはなったら本末転倒なので嫌ですが、1st releaseの製品が練り直されるのはよいことかと…。"

ここのところのMSの情報公開の姿勢は評価できる。あとは、それが現行製品の今後のサポートと新規リリース製品に反映されてくれれば。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索27コメント Log In/Create an Account

元記事を見ると (スコア:5, すばらしい洞察)

by Futaro (2025) on 2002年01月31日 12時43分 (#58980) ホームページ日記

元の記事を見ると、

---
　現在，Microsoftのソフトウエア開発者は実質的にやり方をすべて変えて最新のセキュリティ技術を習得するように求められている。
---

だ、そうだ。

ということは、今までのやり方を「実質的に」「すべて」変えなければならないくらいダメダメだった、ということですね。

また、「最新のセキュリティ技術を習得するように求められている」ということは、「今までは最新のセキュリティ技術とは無縁な人たちだった」ということですね。

ということは、現場では、

「おい、オヤブンが今度は<セキュリティを重視せよ>だってよ」
「みんな、オレも含めてしばらくフロリダで遊んでこようか。で、わざと出荷を遅らせたら、なんか対策してるように見えるじゃん」

と、なっている可能性も否定はできない。
- Re:元記事を見ると (スコア:1, 参考になる)
  
  by Anonymous Coward on 2002年01月31日 15時13分 (#59028)
  
  Writing Secure Code
  http://www.amazon.com/exec/obidos/ASIN/0735615888/
  辺りは、必読書なのでしょうか？
  私は、この辺勉強したことがありません。
  
  シェア
  
  親コメント
この場を借りてFIY (スコア:3, 参考になる)

by slime (4698) on 2002年01月31日 10時45分 (#58935) ホームページ

W2k,SRP出て [microsoft.com]ますよ
- WindowsUpdateにも出現 (スコア:1)
  
  by hash (95) on 2002年02月01日 0時53分 (#59171) 日記
  
  WindowsUpdateでもSRPが現れました。
  結構、対応早くなってきてるんじゃないですか。
  
  あとは、あのパッチ当てるたびに再起動させられるのをなんとかしてくれたらなあ。
  
  シェア
  
  親コメント
- Re:この場を借りてFIY (スコア:0, 参考になる)
  
  by slime (4698)
  
  だあ "FYI" のまちがい…（しくしく
  - Re:この場を借りてFIY (スコア:1)
    
    by oku (4610) on 2002年01月31日 12時13分 (#58966) 日記
    
    ↑の「参考になる」ってモデレーションはジョークだったりするのでしょうか？ (FYI == for your information: 参考までに)
    # ひょっとして本気？
    
    シェア
    
    親コメント
    - Re:この場を借りてFIY (スコア:1)
      
      by slime (4698) on 2002年01月31日 13時01分 (#58992) ホームページ
      
      情報提供で評価されておらず、
      間違い訂正で +1 モデレーションされる私の立場って...
      
      「過ちをすぐに認めたその意気やよし、参考になる」
      という意味なんでしょうか(T-T)
      > モデレータ様
      
      シェア
      
      親コメント
    - Re:この場を借りてFIY (スコア:0)
      
      by Anonymous Coward
      
      つけまちがったんだよー。
      その上のmsサイトへのポインタにつけるつもりだった。
      - Re:この場を借りてFIY (スコア:1)
        
        by slime (4698) on 2002年01月31日 13時11分 (#58997) ホームページ
        
        ぁぅ。かぶってしまった。
        ご評価ありがとうございます。
        
        って、OTにもほどがあるので、さらにFYI。
        WinXP Home -> WinXP Proステップアップグレード [microsoft.com]
        なんてのが出ました。Home プレインストール機なんかにどうでそ
        
        シェア
        
        親コメント
        
        ステップアップグレード (スコア:1)
        
        by tatsushi (87) on 2002年01月31日 21時53分 (#59141) ホームページ日記
        
        なんで5月31日までの期間限定なんでしょうか?
        その後にXP HomeのプリインストールPCを買ったユーザはどうしろと?
        XP SEでもでるんでしょうか?
        #そういや、USB2.0対応とかやることあるし、でるのかもしれない。
        
        シェア
        
        親コメント
  - Re:この場を借りてFIY (スコア:0)
    
    by Anonymous Coward
    
    Fix It Yourself? :-)
本当に証拠になるのでしょうか (スコア:2, すばらしい洞察)

by hhb02144 (6410) on 2002年01月31日 11時22分 (#58943) ホームページ

確かに, テスト工程等を増加させれば出荷遅延を招く可能性はあるでしょう. でも, 出荷時期が伸びたからといってテスト工程を強化したとはいえないのではないでしょうか. 数学でいう必要十分条件には必ずしもならないのだから...

--
★田舎に生息する時代遅れのFortran&COBOLガイなオタク★
- Re:本当に証拠になるのでしょうか (スコア:1)
  
  by nekurai (6253) on 2002年01月31日 12時53分 (#58986) 日記
  
  セキュリティチェックに必要十分(十分だけでも同じ?)な方法があるかどうか、という議論はさておいて...
  
  個人的には「過去の問題がfixされている(例えばこの件 [zdnet.co.jp]はこの製品では全て確認済とか)」事と「わかりきったソース上での問題(Buffer Overflow 等) がない事を確認できている」事だけでも宣言して欲しいなぁ。仮に「腕利きのクラッカー(って何だ?) 1000 人に 1 年間アタックしてもらって穴をチェックした」なんて言うより遥かに安心できるし :-)
  
  # 宣言だけで実際チェック/fixしてないなんていうのは無しね ^^;
  
  シェア
  
  親コメント
実際の動きは出てきたのかな (スコア:2, 参考になる)

by Stahl (7211) on 2002年01月31日 13時06分 (#58994)

これ [zdnet.co.jp]なんかは待ち望んでいた対応のように思われます。
どの程度のペースでやっていくのかを見守っていきたいですね。
いつもどおり (スコア:2, すばらしい洞察)

by bravo (1225) <{bravo} {at} {resourcez.org}> on 2002年01月31日 13時08分 (#58995) ホームページ日記

隠しAPIが増え、新機能(セキュリティほげほげ)を追加する。今回はそれがちょっと多めなんですよ、きっと。
全社的に具体化するのか？ (スコア:1)

by Hebikuzure (489) on 2002年01月31日 10時30分 (#58929) ホームページ日記

確かに一部(特にエンタープライズ分野)でそういう動きがあるのはよい事なのですが、未だにPassportでまたトラブル [zdnet.co.jp]なんて事をやってるのを見ると、企業体質として染み付いたものがどれだけ短期間に変わるのか、難しい所もあるのではないかなあ。
- Re:全社的に具体化するのか？ (スコア:1)
  
  by sou (883) on 2002年01月31日 11時46分 (#58956)
  
  > 未だに Passportでまたトラブル
  
  宣言したからといって今まで作った物が突然化けるワケでもなく。企業体質云々はあると思いますけど、１，２世代は見た方がいいのでは。
  
  *というか「利益のために何でも出来る」のが体質と思えば期待も出来たり。
  
  *今も某黒字転換した大物コンテンツにOperaアクセスするとISAPI.dllが落ちてきてソース丸見えだったりする辺りには不安爆発ですけど。
  
  シェア
  
  親コメント
  - 訂正：ISAPI..dllの内容に問題は無し (スコア:1)
    
    by sou (883) on 2002年01月31日 11時55分 (#58959)
    
    自己レス
    
    > *今も某黒字転換した大物コンテンツにOperaアクセスするとISAPI.dllが落ちてきてソース丸見えだったりする辺りには不安爆発ですけど。
    
    ISAPI.dllの内容は処理後のHTMLソースでした。
    また別にＭＳの問題でなく、運営者の問題と思われるワケで、撤回します。
    失礼いたしました。。；
    
    *以前のマイクロソフトのaspxのソース漏れネタとついかぶってしまいました、、＾＾；
    
    シェア
    
    親コメント
    - Re:訂正：ISAPI..dllの内容に問題は無し (スコア:0)
      
      by Anonymous Coward
      
      >*以前のマイクロソフトのaspxのソース漏れネタとついかぶってしまいました、、＾＾； aspでしょ？aspxにはソース漏れネタって無いと思いますが。
こんなオチだったら... (スコア:1)

by brake-handle (5065) on 2002年01月31日 10時34分 (#58931)

これから世に出す新しい製品のセキュリティに力を注ぎすぎたあまり、それが世に出るまでの最新製品の穴がいつまで立っても塞がりませんでした...ってオチになったりしないかなぁ。

その点では、Microsoftはpatchをすぐに出しているといいますが、その整理となるとド下手ですね。例えばSunだと、patchはただ出すだけに留まらず、それをまとめたclusterもすぐに更新してくれます。こういう方法なら、最新のclusterをとってくるだけで済んで楽です。Microsoftの場合、service packに新機能をつけてしまう手前、なかなかservice packを毎日更新するという方針がとれないんでしょうなぁ。
いままでも (スコア:1)

by SAY (54) on 2002年01月31日 12時07分 (#58963) 日記

いろいろな理由で出荷が遅れた事はあったし、今回が本当にセキュリティ重視で遅れるというのは出荷されて実際に強化されている事が確認できてからでないとわからないよね。
あと仕様的に拙い ActiveX といったのをどうするのかその辺りも含めて見えてこない内は模様眺めをしているしかないのでは。
セキュリティレベル向上 (スコア:1)

by ueno-t (3169) on 2002年01月31日 12時08分 (#58964)

この態度は大いに評価したいんだけど、どのレベルのセキュリティを向上してくれるのかしら。
やっぱネットワーク上のセキュリティのことだよね？個人的にはカーネルレベルからの見直しを期待したいんだけど、あすこまで大きくちゃ無理かもなぁ。
セキュリティ対策 (スコア:1)

by pee02674 (7296) on 2002年01月31日 12時59分 (#58991) 日記

M$の、M$による、M$のためのセキュリティ
じゃないんですか？
要するに不正コピーからM$製品を守る対策(ぉぃ
テストを強化しても (スコア:1)

by WindKnight (1253) on 2002年02月01日 19時24分 (#59333) 日記

直せるとは限らないのだな。

仕様レベルから、やり直さないといけないと思うので、成果が見えるのには、３年はかかるでしょうねぇ。

今回のものにしても、管理者権限でないと動かない製品なんだろうし。
つか (スコア:0)

by Anonymous Coward on 2002年01月31日 15時03分 (#59026)

「セキュリティ重視に転換 -> 出荷遅れ」じゃなくて、「出荷遅れそう->(黙考中)->(!)->MSはセキュリティ重視に転換します」の可能性も。
期待もいいですが、やはり結果で示してもらいましょう (スコア:0)

by Anonymous Coward on 2002年01月31日 21時53分 (#59142)

ワタシはWinY2Kの購入を発売から約1年遅らせたのですが、直後にSP2がリリースされるわ、その後もシャレにならないセキュリティホールが発見されまくるわで、今に至っているわけです。
てなわけで、このような事態が起こらなくなって数年経つまでは信用する気になりません。というか、信用って地道な努力の結果を周囲が認めた証のことですよね。だから、今何か宣言されても聞く気になれません。
…というのが普通の人の感覚だと思うのですが。
- Gatesはもうカリスマじゃないね (スコア:0)
  
  by Anonymous Coward
  
  ということは、もうGates氏は「カリスマ」じゃないね。
  
  彼の一言ではもう誰も信用しない。
  
  強いて言えば「地に落ちた」カリスマですか。
  あるいは「昔の」カリスマ。
  
  ダイエーの中内さんとそう変わらんね。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

MS、セキュリティ対策に本気な証拠 27

MS、セキュリティ対策に本気な証拠 More ログイン

元記事を見ると (スコア:5, すばらしい洞察)

Re:元記事を見ると (スコア:1, 参考になる)

この場を借りてFIY (スコア:3, 参考になる)

WindowsUpdateにも出現 (スコア:1)

Re:この場を借りてFIY (スコア:0, 参考になる)

Re:この場を借りてFIY (スコア:1)

Re:この場を借りてFIY (スコア:1)

Re:この場を借りてFIY (スコア:0)

Re:この場を借りてFIY (スコア:1)

ステップアップグレード (スコア:1)

Re:この場を借りてFIY (スコア:0)

本当に証拠になるのでしょうか (スコア:2, すばらしい洞察)

Re:本当に証拠になるのでしょうか (スコア:1)

実際の動きは出てきたのかな (スコア:2, 参考になる)

いつもどおり (スコア:2, すばらしい洞察)

全社的に具体化するのか？ (スコア:1)

Re:全社的に具体化するのか？ (スコア:1)

訂正：ISAPI..dllの内容に問題は無し (スコア:1)

Re:訂正：ISAPI..dllの内容に問題は無し (スコア:0)

こんなオチだったら... (スコア:1)

いままでも (スコア:1)

セキュリティレベル向上 (スコア:1)

セキュリティ対策 (スコア:1)

テストを強化しても (スコア:1)

つか (スコア:0)

期待もいいですが、やはり結果で示してもらいましょう (スコア:0)

Gatesはもうカリスマじゃないね (スコア:0)

スラド