アカウント名:
パスワード:
3. 改ざんの原因となったウィルスについて ウィルスの種類:「Gumblar」亜種
ということですので、IISの脆弱性ではないようです。
4. 感染しているかの確認、駆除する方法(無料) トレンドマイクロ社 オンラインスキャン http://www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_on... [trendflexsecurity.jp] ※「オンラインスキャンを今すぐ開始する」をクリック
このトレンドマイクロのオンラインスキャナ、署名の有効期限が2007年2月で切れている様子です…… JRの担当者、チェックしていないんでしょうか? # 身内への電話対応で、署名自体は有効だから大丈夫と説明するのが面倒でした。
コードサイニング証明書はタイムスタンプ設定というのがあって、証明書の有効期限が過ぎていても、デジタル署名は有効です。
http://jp.globalsign.com/support/index.php?action=artikel&cat=13&a... [globalsign.com]※VeriSignもそうなんだけど、見つけられなかった。
タイムスタンプが有効なら、OSやブラウザやJREが警告を出すことはなく、したがって証明書を無視するように教え込む必要もありません。逆に言うなら、警告が出ているということはタイムスタンプが有効というケースだではないはずです。# 上述の通りWin7だと弾かれて確認できない。# つーか何でブラウザの機械的検証ごときに人間様が負けてたまるかという自信過剰な人がこんなに多いの?
Windows 7だと2000/XP/Vistaのみ対応とか言って弾かれた…> # 身内への電話対応で、署名自体は有効だから大丈夫と説明するのが面倒でした。大丈夫じゃねーよ。百歩譲ってあんた自身が自己責任でオレオレ証明書を踏むのは勝手だとしても他人を踏むように教育するな。
それにしても「怪しいサイトへのリンクは踏むな」なんて寝言いつまで言い続けるつもりなんだろうね。もはや「従業員がWinnyを使ったことのある企業の製品は利用しない」並みに不可能だと思うんだが。
> 大丈夫じゃねーよ。百歩譲ってあんた自身が自己責任でオレオレ証明書を踏むのは勝手だとしても他人を踏むように教育するな。
そもそも、一般人に証明書の正当性を判断させることが間違っています。警告しても、それを理解できない者、あえて無視する者は、どんな教育をしていても出てきます。実際にあなたも、自己責任とは言いつつ、大丈夫であろうと思いオレオレ証明書のページを開いてますよね?
これは、利用者に対しての教育云々の話ではなくて、ブラウザがそもそも、知らない証明書を警告扱いにしているのが間違いで、それが人間の判断に任せてページを開くことが出来るブラウザがセキュリティーホールです。
人間は間違いもしますし、欲求のためなら多少のムリもしてしまう生き物です。
逆ではないでしょうか。 一般的なブラウザであれば問題ないと判断する証明書ではないのなら、それが大丈夫なのかどうか判断できない人には「危険なものだ」と認識してもらうべきです。
ブラウザが知らない証明書を警告扱いしているのは、いわゆる「オレオレ証明書」では何の証明にもならないからであって、それ自体は間違いではありません。また、ブラウザが知らなくとも人間の側で確認を行えるユーザーのために「人間の判断に任せて」動作することもできます。これらは何らセキュリティーホールではありません。
そもそもセキュリティの基本を考えれば「安全な方に倒す」べきであるので、警告が出てそれが何だか判らないユーザーからの問い合わせに「それはOKでいい」とだけ回答するのはセキュリティという観点で見れば間違いでしかありませんし、それをブラウザだけで解決できないから、と開き直っても何もいいことはありません。
言葉足らずですいません。
現在のブラウザは、証明書がいい加減な場合は、かなり警告を出していますが、結局の所、人間の判断によってブラウザはページを表示することをを許してしまいます。
証明書がいい加減な場合は、そもそも人間に警告して質問するのではなく、ブラウザが問答無用でエラーとして扱いページを表示させるなということです。
そうすれば、人間は判断する必要はないことから、人間を教育する必要も無いですし、判断を誤り間違いを起こすこともありません。
一般ユーザの方に、警告を出してまでページを表示する手段を提供する必要はありません。
お年寄りが電話口の相手を親族や役所だと思い込むのを防ぐのは電話会社や銀行の対策では不可能だからオレオレ詐欺の対策など必要ないし、ましてや注意喚起など無駄以外の何者でもないということですね。たいへんよくわかりました。自分で判断できない人間に判断させるのがそもそもの間違いですから、どんどん成年被後見人にでも登録すべきですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
Windows の IISの問題? (スコア:1, オフトピック)
IIS の脆弱性ですか?
Gumblar亜種でした (スコア:3, 参考になる)
ということですので、IISの脆弱性ではないようです。
Re:Gumblar亜種でした (スコア:1)
4. 感染しているかの確認、駆除する方法(無料)
トレンドマイクロ社 オンラインスキャン
http://www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_on... [trendflexsecurity.jp]
※「オンラインスキャンを今すぐ開始する」をクリック
このトレンドマイクロのオンラインスキャナ、署名の有効期限が2007年2月で切れている様子です……
JRの担当者、チェックしていないんでしょうか?
# 身内への電話対応で、署名自体は有効だから大丈夫と説明するのが面倒でした。
notice : I ignore an anonymous contribution.
期限切れでも署名は有効 (スコア:2, 参考になる)
コードサイニング証明書はタイムスタンプ設定というのがあって、
証明書の有効期限が過ぎていても、デジタル署名は有効です。
http://jp.globalsign.com/support/index.php?action=artikel&cat=13&a... [globalsign.com]
※VeriSignもそうなんだけど、見つけられなかった。
Re: (スコア:0)
タイムスタンプが有効なら、OSやブラウザやJREが警告を出すことはなく、したがって証明書を無視するように教え込む必要もありません。逆に言うなら、警告が出ているということはタイムスタンプが有効というケースだではないはずです。
# 上述の通りWin7だと弾かれて確認できない。
# つーか何でブラウザの機械的検証ごときに人間様が負けてたまるかという自信過剰な人がこんなに多いの?
Re: (スコア:0, すばらしい洞察)
Windows 7だと2000/XP/Vistaのみ対応とか言って弾かれた…
> # 身内への電話対応で、署名自体は有効だから大丈夫と説明するのが面倒でした。
大丈夫じゃねーよ。百歩譲ってあんた自身が自己責任でオレオレ証明書を踏むのは勝手だとしても他人を踏むように教育するな。
それにしても「怪しいサイトへのリンクは踏むな」なんて寝言いつまで言い続けるつもりなんだろうね。もはや「従業員がWinnyを使ったことのある企業の製品は利用しない」並みに不可能だと思うんだが。
Re:Gumblar亜種でした (スコア:2)
> 大丈夫じゃねーよ。百歩譲ってあんた自身が自己責任でオレオレ証明書を踏むのは勝手だとしても他人を踏むように教育するな。
そもそも、一般人に証明書の正当性を判断させることが間違っています。
警告しても、それを理解できない者、あえて無視する者は、どんな教育をしていても出てきます。
実際にあなたも、自己責任とは言いつつ、大丈夫であろうと思いオレオレ証明書のページを開いてますよね?
これは、利用者に対しての教育云々の話ではなくて、
ブラウザがそもそも、知らない証明書を警告扱いにしているのが間違いで、
それが人間の判断に任せてページを開くことが出来るブラウザがセキュリティーホールです。
人間は間違いもしますし、欲求のためなら多少のムリもしてしまう生き物です。
Re:Gumblar亜種でした (スコア:2, すばらしい洞察)
逆ではないでしょうか。
一般的なブラウザであれば問題ないと判断する証明書ではないのなら、それが大丈夫なのかどうか判断できない人には「危険なものだ」と認識してもらうべきです。
ブラウザが知らない証明書を警告扱いしているのは、いわゆる「オレオレ証明書」では何の証明にもならないからであって、それ自体は間違いではありません。また、ブラウザが知らなくとも人間の側で確認を行えるユーザーのために「人間の判断に任せて」動作することもできます。これらは何らセキュリティーホールではありません。
そもそもセキュリティの基本を考えれば「安全な方に倒す」べきであるので、警告が出てそれが何だか判らないユーザーからの問い合わせに「それはOKでいい」とだけ回答するのはセキュリティという観点で見れば間違いでしかありませんし、それをブラウザだけで解決できないから、と開き直っても何もいいことはありません。
Re:Gumblar亜種でした (スコア:2)
言葉足らずですいません。
現在のブラウザは、証明書がいい加減な場合は、かなり警告を出していますが、
結局の所、人間の判断によってブラウザはページを表示することをを許してしまいます。
証明書がいい加減な場合は、そもそも人間に警告して質問するのではなく、
ブラウザが問答無用でエラーとして扱いページを表示させるなということです。
そうすれば、人間は判断する必要はないことから、
人間を教育する必要も無いですし、判断を誤り間違いを起こすこともありません。
一般ユーザの方に、警告を出してまでページを表示する手段を提供する必要はありません。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
お年寄りが電話口の相手を親族や役所だと思い込むのを防ぐのは電話会社や銀行の対策では不可能だからオレオレ詐欺の対策など必要ないし、ましてや注意喚起など無駄以外の何者でもないということですね。たいへんよくわかりました。自分で判断できない人間に判断させるのがそもそもの間違いですから、どんどん成年被後見人にでも登録すべきですね。
Re: (スコア:0)
> 警告しても、それを理解できない者、あえて無視する者は、どんな教育をしていても出てきます。
> 実際にあなたも、自己責任とは言いつつ、大丈夫であろうと思いオレオレ証明書のページを開いてますよね?
それでも警告はすべきでは? 自分はそうしています。
私は、アンチウイルス等のツールによる監視が有効になっている事を確認の上で、
恐らくは直接的な問題は無かろう、と言う憶測の上で警告の出るページを開いていますが、
そのサイトの運営者がセキュリティ意識が薄い事は間違いないので、
いつの間に偽サイト
Re:Gumblar亜種でした (スコア:1)
(詳細は問題のリンクより実物を御確認願います。)
notice : I ignore an anonymous contribution.