パスワードを忘れた? アカウント作成
Close
2691 story

セキュリティホールをやさしく指摘して欲しい 7

ストーリー by kazekiri
オープンソースとセキュリティ 部門より

Anonymous Coward曰く、"メールサーバーソフトXMailの設定を支援するCGI、 XCFGとK4ですが、 このソフトにセキュリティホールが指摘されて実験サーバーが 1週間公開されています。 セキュリティホールを指摘された時の対応を考えさせられる 例なのでぜひ参加してみては。

How to XMail Server
#269 - セキュリティ問題 最初に、ここで問題を指摘された所、管理人は最初は、「単なるいやがらせ」として 指摘した人間に証明しろと命令したり、 具体的な指摘に対しても、検証もせずに 「その方法では無理があると思いますが」 などと根拠不在の反論を展開しますが、それでもセキュリティ問題が あることを認めて、公開でテストをすることになりました。

管理人室
#01006 - K4 公開テストのお知らせ
こちらで1週間サーバーが公開されます。 オープンソースのデバッグに 参加してみてはいかがでしょうか。 "

ちょうどZDNetには オープンソースのセキュリティ,信用し過ぎ?という記事も 掲載されている。オープンソースの手法、そして セキュリティ対策を考える良い機会だ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティホールをやさしく指摘して欲しい More

  • 誰か用意してくれ~ (スコア:2, すばらしい洞察)

    by TxG (7966) on 2002年04月01日 11時38分 (#77292)
    クラック対象を用意しておくっていいですね。
    セキュリティ関連のMLでも、手順をきちんと説明できるものにするためには、結局自分で
    マシン(やVMware)と必要なら対象の環境のライセンスを用意して、そのためだけに
    セットアップすることになるんでしょうから…。

    個人でやればいい、っていう話もあるかもしれませんが、なんだかんだでサーバが
    用意できる人でないと今回のように対象を提供できないと思います。

    クラック対象のサーバをまとめて提供してくれる団体希望。
    (もうそんなことしてる団体があったらごめんなさい。僕が無知なだけです)
    ライセンスが有料のものでなければやりやすいと思うし。

    本当に入れ込んでる人はVMware使ってるのだろうけど。
    そうでない人もセキュリティホールを発見することはあるだろうし。

    # やっとまともなトピックで一安心。

  • 結果オーライ (スコア:1)

    by joshkata (4660) on 2002年04月01日 15時37分 (#77372)
    タレコミの書き様を見ると、管理人さんの対応が酷く攻撃的な様に思えたのですが、実際のやりとりを見ると比較的まともに対応していると思いますけどね。

    確かに29日の管理人さんの二番目の書き込み辺りは少々とんがってますが、これも情報量が少なくて対策のとりようがなくて、困った挙げ句のものかなとも思いました。 ともあれ、建設的な方向に向かったようで良かったですね。

    不具合なりを指摘されて、謙虚でいることは難しいですよね。 そういう意味では経過はどうあれ、建設的な方向に向かっていることはすばらしいのではないでしょうか。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人