アカウント名:
パスワード:
バージョンを公開するかどうかは「攻撃者の心理」との戦いなのですから、 パッチが本当に適用されているかどうかについて語る必要はありませんよね?
パッチが適用されているなら、心理とやらについて語る必要すらないよ。
そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
特定バージョンの穴のパッチが全て公開されているとは限らないし、穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
そういうケースを想定するならバージョンを隠しても無駄。
バージョン公開によって、 "攻撃者に穴のある可能性の推定"をしやすくはすると思う。
そう感じるのはあなたの技術力が低いから。ゼロデイアタックができるような技術力の者はそうは思わない。
サーバー名、バージョン名が見えていれば"過去にあった穴”の情報はわかる。 塞いでいるかいないかはその時点で攻撃者はわからない。
ww。いやだから、あのさ、技術力の高い者(ゼロデイできる人とかね)にはそんなのわかるんだって。あんたがわからないってだけ。己の無知を理解しなさいよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
偏屈な回答ですが (スコア:5, 興味深い)
#ちなみに私は概ね隠します。理由は、なんとなく (笑
Re:偏屈な回答ですが (スコア:1, 興味深い)
一応これはセキュリティ的に良い悪いの話なので…。
バージョン情報みたいに実際には毒にも薬にもならないものであれば好みやポリシーでも構わないんですが、
例えば「脆弱性のあるバージョンのapacheを放置するかどうか」を好みやポリシーだといわれるとちょっと困ります。
今回の話はどちらかというと「バージョン情報を隠すのがセキュリティ確保に有効」と言う話に対して、
「おいおいちょっとまてよ、隠すのは構わんけど隠しても大した効果はないぞ」と言うコメントがついているんでしょう。
Re:偏屈な回答ですが (スコア:0)
こんな基本的なこともやっていないサイトと思われるよ。
投稿者: Anonymous | 2007年08月28日 23:26
>こんな基本的なこともやっていないサイトと思われるよ。
とんでもない。バージョンは隠さないのがセキュリティ業界の常識です。
バージョンを隠していると、脆弱性パッチをあててないと思われてむしろexploitをつっこまれる。
投稿者: Anonymous | 2007年08月29日 23:04
----
このように、バージョン開示派には「バージョンを隠匿するとセキュリティが低下する」という
ご意見もあるようで、なかなか賛否両論のようです。
Re:偏屈な回答ですが (スコア:4, すばらしい洞察)
どこにぶら下げようか迷ったんですが、とりあえずここで。
他にも同じような発言があったのですが、どうも「バージョン隠蔽=パッチ未適用」が規定路線として語られてる感があります。
パッチ未適用ならバージョンを隠蔽しようが公開しようが攻撃者から見て事実上何の差異も無いのであれば、
パッチはきちんと当たってるという前提で、その上で「バージョンを公開/非公開」の論議をすべきでは?
どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
# 私は公開した方がいいと思います。バージョン情報を参照するのは別に攻撃者だけってわけでも無いでしょうから。
# 逆に言うと他に利用されない情報ならわざわざ公開する必要は無いでしょう。無駄というものです。
Re:偏屈な回答ですが (スコア:0)
サーバーにパッチが当たっていなければセキュリティが低いのは当たり前です。
バージョンを公開するかどうかは「攻撃者の心理」との戦いなのですから、
パッチが本当に適用されているかどうかについて語る必要はありませんよね?
攻撃者にとって「バージョン隠蔽=パッチ未適用」が規定路線かどうか、については
そういう攻撃者がいることは事実だと思います。
そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
>どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
少なくともこのツリーと引用されたコメントにはいないようですね。
Re:偏屈な回答ですが (スコア:0)
パッチが適用されているなら、心理とやらについて語る必要すらないよ。
べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
Re:偏屈な回答ですが (スコア:0)
>パッチが適用されているなら、心理とやらについて語る必要すらないよ。
私もパッチが適用されていればバージョンが公開されているかどうかは
実質的なセキュリティ強度には関係無いと思います。
ただ必要だという意見が「ウノウラボ」「@IT」に出されたことで
必要/不要の両面から語りたい人も出てきたのでしょう。
/.でも必要だという人が結構いるようですし。
(その根拠は「管理者の心理」または「セキュリティコンサルの心理」などのように見えますが)
>>そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
>べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
これも「管理者の心理」の問題ですよね。
私も個人的にはこういった心理に共感を感じないので「そういう人もいるようだ」としかコメントできません。
Re:偏屈な回答ですが (スコア:1, すばらしい洞察)
>私もパッチが適用されていればバージョンが公開されているかどうかは
実質的なセキュリティ強度には関係無いと思います。
そうかな?特定バージョンの穴のパッチが全て公開されているとは限らないし、
穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
確かに"ふさいでいる・いない”という意味では強度は同じだが、バージョン公開によって、
"攻撃者に穴のある可能性の推定"をしやすくはすると思う。
公開派の"バージョン公開していないと穴を塞いでないと思われるから公開
Re:偏屈な回答ですが (スコア:0)
そういうケースを想定するならバージョンを隠しても無駄。
そう感じるのはあなたの技術力が低いから。ゼロデイアタックができるような技術力の者はそうは思わない。
Re:偏屈な回答ですが (スコア:0)
詭弁もいいところだなぁ。
>バージョン公開によって、 "攻撃者に穴のある可能性の推定"をしやすくはすると思う。
これは”ゼロデイアタック"だけを対象にした話じゃないでしょ。
サーバー名、バージョン名が見えていれば"過去にあった穴”の情報はわかる。
塞いでいるかいないかはその時点で攻撃者はわからない。ただ”穴がある場所の推定はしやすい”って話。
>特定バージョンの穴のパッチが全て公開されているとは限らないし、穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
>そういうケースを想定するならバージョンを隠しても無駄。
これも嘘。iisの6に会って5にない穴もあるし、iisにあってapacheに無い穴もある。
全てにパッチが公開されてから穴の情報が出るかというとそうとも限らない。
修正パッチが公開されない(されるのが遅い)不具合なんて山とありますが?
Re:偏屈な回答ですが (スコア:0)
ww。いやだから、あのさ、技術力の高い者(ゼロデイできる人とかね)にはそんなのわかるんだって。あんたがわからないってだけ。己の無知を理解しなさいよ。
Re:偏屈な回答ですが (スコア:0)
”技術の高い人に対して無駄だから、幼稚園にもわかる穴の情報をわざわざ公開するのかね”
攻撃者の技術にも高いの低いの色々いる。
高いのに対して無駄だからノーガード??アホか。
"隠蔽することによってセキュリティリスクが上がる(穴が増える・穴を推定される可能性が増える)"のか?
"公開することによっては、間違いなく"自分で穴を見つけるゼロデイを出来る人間以外にも”穴を推定する情報を与える”
パッチ公開されてない穴とかね。
さてどっちがましな運用かね。
Re:偏屈な回答ですが (スコア:0)
脆弱性塞いでるからノーガードじゃない。ノーガードの人がバージョンを隠す。
>幼稚園にもわかる穴の情報をわざわざ公開するのかね
幼稚園児にわかるような穴がある時点で終わってるよ。
Re:偏屈な回答ですが (スコア:0)
なんで、わざわざこれを無視するのかね。
>脆弱性塞いでるからノーガードじゃない。ノーガードの人がバージョンを隠す。
これも単なる言いがかり。
公開してようがしてなかろうが、パッチは全て当て、いらんポートは全部塞ぎ、その上で。(正しい運用は前提で)
公開・隠蔽したほうどちらが攻撃を受けるのか、受けないのか。
公開・隠蔽したほう攻撃に対して強いのか、弱いのかの話だろ。
で、さて、脆弱性公開されてパッチの出てない穴なんて短期的には幾らでもあるわけで。
その中で、apachにあってiisにない脆弱性、iisにあってapacheにない脆弱性。
あるバージョ
Re:偏屈な回答ですが (スコア:0)
>なんで、わざわざこれを無視するのかね。
ゼロデイは幼稚園児には突けないからでは?