アカウント名:
パスワード:
パッチはきちんと当たってるという前提で、その上で「バージョンを公開/非公開」の論議をすべきでは?
論点が「バージョンの公開/非公開」のはずなのに、「パッチの適用/非適用」とすりかえられてませんか?論点がずれてボケることで、無用な議論にエネルギー費やしてませんか?
という話なんですが、おわかりいただけないようですね.
あなたはいったいどうしたいんですか?って、ACに訊いても無駄ですね.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
偏屈な回答ですが (スコア:5, 興味深い)
#ちなみに私は概ね隠します。理由は、なんとなく (笑
Re:偏屈な回答ですが (スコア:1, 興味深い)
一応これはセキュリティ的に良い悪いの話なので…。
バージョン情報みたいに実際には毒にも薬にもならないものであれば好みやポリシーでも構わないんですが、
例えば「脆弱性のあるバージョンのapacheを放置するかどうか」を好みやポリシーだといわれるとちょっと困ります。
今回の話はどちらかというと「バージョン情報を隠すのがセキュリティ確保に有効」と言う話に対して、
「おいおいちょっとまてよ、隠すのは構わんけど隠しても大した効果はないぞ」と言うコメントがついているんでしょう。
Re:偏屈な回答ですが (スコア:0)
こんな基本的なこともやっていないサイトと思われるよ。
投稿者: Anonymous | 2007年08月28日 23:26
>こんな基本的なこともやっていないサイトと思われるよ。
とんでもない。バージョンは隠さないのがセキュリティ業界の常識です。
バージョンを隠していると、脆弱性パッチをあててないと思われてむしろexploitをつっこまれる。
投稿者: Anonymous | 2007年08月29日 23:04
----
このように、バージョン開示派には「バージョンを隠匿するとセキュリティが低下する」という
ご意見もあるようで、なかなか賛否両論のようです。
Re:偏屈な回答ですが (スコア:4, すばらしい洞察)
どこにぶら下げようか迷ったんですが、とりあえずここで。
他にも同じような発言があったのですが、どうも「バージョン隠蔽=パッチ未適用」が規定路線として語られてる感があります。
パッチ未適用ならバージョンを隠蔽しようが公開しようが攻撃者から見て事実上何の差異も無いのであれば、
パッチはきちんと当たってるという前提で、その上で「バージョンを公開/非公開」の論議をすべきでは?
どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
# 私は公開した方がいいと思います。バージョン情報を参照するのは別に攻撃者だけってわけでも無いでしょうから。
# 逆に言うと他に利用されない情報ならわざわざ公開する必要は無いでしょう。無駄というものです。
Re:偏屈な回答ですが (スコア:0)
現実社会はいろんな前提条件が入り混じって、そのままじゃ議論にならない。でも、きれいに議論しようと論点を整理しすぎると、議論の結果はきれい過ぎて現実社会に適用できなくなる。
細かく前提を絞っちゃうと、そこで議論されない点が多く残るので議論の意義が薄れますね。なにごともバランスが大事よ。
Re:偏屈な回答ですが (スコア:1)
論点がずれてボケることで、無用な議論にエネルギー費やしてませんか?
という話なんですが、おわかりいただけないようですね.
# まぁ、前にも書いてるようにある意味どうでもいいことですが.
# 必要なら公開すればいいし、不要なら公開しなければいいだけのことでしょう?
# あなたはいったいどうしたいんですか?って、ACに訊いても無駄ですね.
Re:偏屈な回答ですが (スコア:0, 荒らし)
現実社会で種々の理由によって「バージョンの公開/非公開」が「パッチの適用/非適用」と切っても切れない関係にあるとの証拠かもしれない。理屈で考えたら無関係だが、調査して「パッチをすぐに適用できないからバージョン非公開」って考えで運用してるところが多ければ、そういう社会を無視して議論してもしかたないもの。きれいに理屈で割り切れる議論をしても結果的に「無用な議論にエネルギー費やし」てしまったこともありうるわけ。つまり、運用の現実を調査もしないで「これは無関係、すりかえ」だなんて乱暴ですよ。
自分の意見に対抗されると反射的に「相手はおわかりいただけない人だ」と思い込む方でしょうか。
ACでないあなたに訊いても無駄であることにはかわりないこと。違う?
Re:偏屈な回答ですが (スコア:0)
論点がバージョンの公開/非公開であれば、パッチ適用の場合と非適用の場合を切り分けて議論すれば良いだけ。
その中で個別の事例は出てくるだろうけど。
明らかに論旨を理解してないまま、反射的に返されてると思いこんでるでしょ
Re:偏屈な回答ですが (スコア:0)
論旨を理解していないのは君だよ。
「論点のすり替え」だの、「明らかに○○」だの言う前に、少しは論理的に意見を述べようよ。
Re:偏屈な回答ですが (スコア:0)