アカウント名:
パスワード:
パッチはきちんと当たってるという前提で、その上で「バージョンを公開/非公開」の論議をすべきでは?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
偏屈な回答ですが (スコア:5, 興味深い)
#ちなみに私は概ね隠します。理由は、なんとなく (笑
Re:偏屈な回答ですが (スコア:1, 興味深い)
一応これはセキュリティ的に良い悪いの話なので…。
バージョン情報みたいに実際には毒にも薬にもならないものであれば好みやポリシーでも構わないんですが、
例えば「脆弱性のあるバージョンのapacheを放置するかどうか」を好みやポリシーだといわれるとちょっと困ります。
今回の話はどちらかというと「バージョン情報を隠すのがセキュリティ確保に有効」と言う話に対して、
「おいおいちょっとまてよ、隠すのは構わんけど隠しても大した効果はないぞ」と言うコメントがついているんでしょう。
Re:偏屈な回答ですが (スコア:0)
こんな基本的なこともやっていないサイトと思われるよ。
投稿者: Anonymous | 2007年08月28日 23:26
>こんな基本的なこともやっていないサイトと思われるよ。
とんでもない。バージョンは隠さないのがセキュリティ業界の常識です。
バージョンを隠していると、脆弱性パッチをあててないと思われてむしろexploitをつっこまれる。
投稿者: Anonymous | 2007年08月29日 23:04
----
このように、バージョン開示派には「バージョンを隠匿するとセキュリティが低下する」という
ご意見もあるようで、なかなか賛否両論のようです。
Re:偏屈な回答ですが (スコア:4, すばらしい洞察)
どこにぶら下げようか迷ったんですが、とりあえずここで。
他にも同じような発言があったのですが、どうも「バージョン隠蔽=パッチ未適用」が規定路線として語られてる感があります。
パッチ未適用ならバージョンを隠蔽しようが公開しようが攻撃者から見て事実上何の差異も無いのであれば、
パッチはきちんと当たってるという前提で、その上で「バージョンを公開/非公開」の論議をすべきでは?
どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
# 私は公開した方がいいと思います。バージョン情報を参照するのは別に攻撃者だけってわけでも無いでしょうから。
# 逆に言うと他に利用されない情報ならわざわざ公開する必要は無いでしょう。無駄というものです。
Re:偏屈な回答ですが (スコア:0)
現実社会はいろんな前提条件が入り混じって、そのままじゃ議論にならない。でも、きれいに議論しようと論点を整理しすぎると、議論の結果はきれい過ぎて現実社会に適用できなくなる。
細かく前提を絞っちゃうと、そこで議論されない点が多く残るので議論の意義が薄れますね。なにごともバランスが大事よ。
Re:偏屈な回答ですが (スコア:0)
こういう前提条件を善しとするIT業界ってなんなんでしょうね。
Re:偏屈な回答ですが (スコア:0)
> こういう前提条件を善しとするIT業界ってなんなんでしょうね。
意味不明。もしもIT業界の現実がそうであるならその条件を受け入れなければならない。ある人間が勝手に「善しとする」とか「善しとしない」と決められる問題ではない。
もっとも、現実問題としてIT業界に限らず実社会ってそんなもんだよ。それを書いた当の本人ですが、IT業界なんて念頭になく親コメントの彼があまりにも現実離れした仮定を持ちだしたことだけを念頭において書いたからね。