アカウント名:
パスワード:
今に始まったことではないが、
> 「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」
こんなこと言ってるようじゃ、もう終わりだな。セキュリティ上の問題が発見されること自体は、あるていど仕方がないけど。
それとも、先日のXSSの話題にあったように、セキュリティ問題について日本人は神経質すぎるのか?
コインロッカーのようなものを、さも革新的なサービスであるかのように有料で提供するのも止めた方がいいですよね。
Googleは、リンクの張られておらず、推測不能な十分長いURLは、アクセス制限として有効だと考えているようです。実際、カレンダーには、ログインなしで予定がみれるURLが設定されています。
どういう実装になってるかは知りませんが、わざと応答遅くするなど、総当たり攻撃対策やっててくれれば、個人的には十分だと思いますが・・・
今回の問題だと、画像は文書を削除しても残るようなので例えばどこかの掲示板にURL貼られちゃったら見られ放題なわけですが。危険なのはどちらかというと手違いを含めた人と人とのやり取りから漏れるケースだと思いますが。
>画像は文書を削除しても残る
削除機能が削除の用をなしていないって事ですね。脆弱性で無いにしても、いつまでもGoogleが意図に反して保持しているという事。重要な不具合には違いありませんね。
漏れる/悪用される時の状況や経路とシステムの潜在的リスクとは切り離して考えないと、なんでもかんでも「XSSは本当に危険なのでしょうかキリッ」ってことになっちゃう。
そういう状況が普通の利用ではありえないから、受容できるって苦しい言い訳が通用するのは、完全に社内インフラで使われるようなツールだから、ネットワーク的に切り離しているためそれが担保になっているとか言える場合においてくらいだろうと。
#外部からネットワークを乗り越えて正規クライアントを自由に出来る状況になってしまえば、#社内インフラアプリの些細な脆弱性など問題にならない
> いつまでもGoogleが意図に反して保持している意図に反しているならいい(よくないけど)のですが…
> 技術屋が中心となって作った会社でユーザ本意に動くところなんて僅少だよな。
技術屋が中心でない会社だって、「ユーザ本意に動」いたりするわけはない。
技術屋が中心の会社 → ユーザ本意に動けない技術屋が中心でない会社 → ユーザ本意に動いているように見せかけることが出来る
コミュニケーション能力(笑)の差です
類似はIE3とか4の時ぐらいのMSかね後先考えずに拡張だけでメンテナンスというか保守・すり合わせが抜けてる。
削除という概念が不要だった故に情報の開示とかのコントロール技術がない。悪く言えば情報リテラシーがない。
> 日本人は神経質すぎるのか
セキュリティー問題を見つけたAde BarkahもTechCrunchの記事を書いたRobin Wautersも多分、日本人ではない。
TechCrunch Japanへ翻訳したNamekawa, Uは、日本人かも。
原文はhttp://www.techcrunch.com/2009/03/26/more-security-loopholes-found-in-... [techcrunch.com]Based on the information we've received, we do not believe there are significant security issues with Google Docsとなっていて、「not believe」ということなんで。
遡ると韓国なので安心です。
それとも、先日のXSSの話題にあったように、 セキュリティ問題について日本人は神経質すぎるのか?
LAC流に言うとこうですか。
>セキュリティ問題について日本人は神経質すぎるのか?
MSの擁護をしたいMS信者が多いということでしょう。
MS以外の製品でセキュリティの問題が見つかると、その性質に関係なく、なにがなんでもケチをつけたくなる人多すぎ。
実際に利用されているのはMSの穴ばかりなのにね。
あなたの脳内フィルターでは、MS批判の存在が目に入らないように処理されているのですねw
それとも、MS批判されていても言葉が理解できないのかな?
MS批判の存在は当然目に入っても、あなたのような盲目的なMS信者が圧倒的に多いという話をしているのでは?
マジな話、Appleと違って信者が少ない&MSを敵に回しているGoogleの場合は、少しでも問題があると(実害が無くても)MS信者の罵倒の嵐になるから、端で見ていてすごく気味が悪いですよ。
いや、実際その辺りを問題としている人達はそれまでの繰り返しから既に使用を制限して居るか、運用対処している可能性が高いよ。少なくとも業務なんかでGoogleのオンラインサービスを使う危険性に付いては、コンセンサスが得られるようになって来てますから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
Googleもうだめ (スコア:0)
今に始まったことではないが、
> 「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」
こんなこと言ってるようじゃ、もう終わりだな。
セキュリティ上の問題が発見されること自体は、あるていど仕方がないけど。
それとも、先日のXSSの話題にあったように、
セキュリティ問題について日本人は神経質すぎるのか?
Re:Googleもうだめ (スコア:3, すばらしい洞察)
by Google
Re: (スコア:0)
コインロッカーのようなものを、さも革新的なサービスであるかのように
有料で提供するのも止めた方がいいですよね。
Re:Googleもうだめ (スコア:3, 興味深い)
Googleは、リンクの張られておらず、推測不能な十分長いURLは、アクセス制限として有効だと考えているようです。
実際、カレンダーには、ログインなしで予定がみれるURLが設定されています。
どういう実装になってるかは知りませんが、わざと応答遅くするなど、
総当たり攻撃対策やっててくれれば、個人的には十分だと思いますが・・・
Re: (スコア:0)
今回の問題だと、画像は文書を削除しても残るようなので
例えばどこかの掲示板にURL貼られちゃったら見られ放題なわけですが。
危険なのはどちらかというと手違いを含めた人と人とのやり取りから
漏れるケースだと思いますが。
Re:Googleもうだめ (スコア:2, すばらしい洞察)
>画像は文書を削除しても残る
削除機能が削除の用をなしていないって事ですね。
脆弱性で無いにしても、いつまでもGoogleが意図に反して保持しているという事。
重要な不具合には違いありませんね。
漏れる/悪用される時の状況や経路とシステムの潜在的リスクとは切り離して考えないと、
なんでもかんでも「XSSは本当に危険なのでしょうかキリッ」ってことになっちゃう。
そういう状況が普通の利用ではありえないから、受容できるって苦しい言い訳が通用するのは、
完全に社内インフラで使われるようなツールだから、ネットワーク的に切り離しているため
それが担保になっているとか言える場合においてくらいだろうと。
#外部からネットワークを乗り越えて正規クライアントを自由に出来る状況になってしまえば、
#社内インフラアプリの些細な脆弱性など問題にならない
Re: (スコア:0)
> いつまでもGoogleが意図に反して保持している
意図に反しているならいい(よくないけど)のですが…
Re:Googleもうだめ (スコア:2, すばらしい洞察)
Re:Googleもうだめ (スコア:1, すばらしい洞察)
自分が技術的に面白いと思うかどうかだけで物事を考えるフシがある。
技術屋が中心となって作った会社でユーザ本意に動くところなんて僅少だよな。
Re:Googleもうだめ (スコア:1, すばらしい洞察)
> 技術屋が中心となって作った会社でユーザ本意に動くところなんて僅少だよな。
技術屋が中心でない会社だって、「ユーザ本意に動」いたりするわけはない。
Re: (スコア:0)
技術屋が中心の会社 → ユーザ本意に動けない
技術屋が中心でない会社 → ユーザ本意に動いているように見せかけることが出来る
コミュニケーション能力(笑)の差です
Re: (スコア:0)
類似はIE3とか4の時ぐらいのMSかね
後先考えずに拡張だけでメンテナンスというか保守・すり合わせが抜けてる。
削除という概念が不要だった故に情報の開示とかのコントロール技術がない。
悪く言えば情報リテラシーがない。
Re: (スコア:0)
Re:Googleもうだめ (スコア:1, 興味深い)
> 日本人は神経質すぎるのか
セキュリティー問題を見つけたAde Barkahも
TechCrunchの記事を書いたRobin Wautersも
多分、日本人ではない。
Re: (スコア:0)
TechCrunch Japanへ翻訳したNamekawa, Uは、日本人かも。
原文は
http://www.techcrunch.com/2009/03/26/more-security-loopholes-found-in-... [techcrunch.com]
Based on the information we've received, we do not believe there are significant security issues with Google Docs
となっていて、「not believe」ということなんで。
Re: (スコア:0)
遡ると韓国なので安心です。
Re:Googleもうだめ (スコア:1)
普通の日本人はまだまだリスク・マネジメントについて鈍感だからではないでしょうか。
詰まる所は、セキュリティ確保において心許ない基盤の上のサービスであることを念頭に
リスクを受容して使用するための見極めと対応とをできないので、神経質に穴を塞ごうと
しているように思います。
仮に高額安全なサービスと定額何ありのサービスをグーグルが省内として提供し始めたら、
果たしてどれだけのユーザーが前者を選ばず、後者を無償で改善しろとだけいうか、
国別で見てみたいものです。
Re: (スコア:0)
Re: (スコア:0)
Googleドキュメントじゃないよ、って意味じゃないかと。
Re: (スコア:0)
LAC流に言うとこうですか。
Re: (スコア:0)
>セキュリティ問題について日本人は神経質すぎるのか?
MSの擁護をしたいMS信者が多いということでしょう。
MS以外の製品でセキュリティの問題が見つかると、その性質に関係
なく、なにがなんでもケチをつけたくなる人多すぎ。
実際に利用されているのはMSの穴ばかりなのにね。
Re: (スコア:0)
あなたの脳内フィルターでは、MS批判の存在が目に入らないように処理されているのですねw
それとも、MS批判されていても言葉が理解できないのかな?
Re: (スコア:0)
MS批判の存在は当然目に入っても、あなたのような盲目的なMS信者が
圧倒的に多いという話をしているのでは?
マジな話、Appleと違って信者が少ない&MSを敵に回しているGoogle
の場合は、少しでも問題があると(実害が無くても)MS信者の罵倒の
嵐になるから、端で見ていてすごく気味が悪いですよ。
Re: (スコア:0)
> MS以外の製品でセキュリティの問題が見つかると、その性質に関係
> なく、なにがなんでもケチをつけたくなる人多すぎ。
あなたほど酷い被害妄想的アンチMSは、この界隈でも珍しいですね。
どう考えても、MS以外の脆弱性情報は知らんふりされることが多くて、
MSの脆弱性は片っ端か批判されてますよね。
Firefoxの脆弱性修正アップデートのスレッドなんて、その典型です。
その本質が、多数の重大な脆弱性修正であるにもかかわらず、まるで
新しいバージョンが出て機能アップしたかのような扱いよう。
> 実際に利用されているのはMSの穴ばかり
Re: (スコア:0)
いや、実際その辺りを問題としている人達はそれまでの繰り返しから既に使用を制限して居るか、運用対処している可能性が高いよ。
少なくとも業務なんかでGoogleのオンラインサービスを使う危険性に付いては、コンセンサスが得られるようになって来てますから。