アカウント名:
パスワード:
多様性があったほうがいいなんてのは何億年も前から自然界での鉄則ですから攻撃する側からすれば手間がかかる上にひとつの手法でターゲットにできる相手のかすが少なくて旨味がないiOSなんて全員クローン状態なのでそっち狙うに決まってるわけです
遺伝的・遺伝子的ですね
そして進化には努力が必要と日本語ではよく使われるが、進化・生き残りには運しかないことを再度強調しておきたい。
「どれかが生き残れば良い」ではなく「誰も死んではいけない」なのです。セキュリティにおいては。
100台の端末があってうち1台が攻略方法のある機種・アプリ環境だったら、その穴から侵入されてしまうかも知れないじゃないですか。そういうのを「セキュリティホール」っていいますよね。多様性はセキュリティホールを生みます。
一部が死ぬのを前提にセキュリティとか考えるものだと思うんだけど?「誰も死んではいけない」ってのは絶対に守れるもんじゃないし、多様性を排除して単一種になったとしたら1台が死んだら全滅するわけでもあるし。
# セキュリティにも安全神話はないと思うのです。
反原発的絶対安全概念ではないですかね?
関西電力の原発依存率は50%越えてたな。
端末がやられることとLANに侵入されることは別ですよ。そっちはそっちで対策して当然。でもその対策には出番がない方がいい。内部FWで食い止められるからって、弱い端末がやられてもいいとは言えないでしょう。システムの性格にもよりますが。
バックアップサーバーがあるから本番系で無茶やってもいいことにはなりませんよね。
多様性を考えた上でのセキュリティなんだから、当然いろんな端末からアクセスがくるサーバーなどの上位のレイヤーでのセキュリティ概念のつもりで話してました。ケータイキャリアのようにサービス側が端末のセキュリティに干渉できるなら事情は変わるけど、まずは単純化して考えた方がいいかなと思って。
# 端末メーカー側が「多様性があるからうちのスマホはセキュリティ弱くてもいいんですよ」とか言ってたら目も当てられない。そこはそのレイヤーにあったセキュリティを考えるべきだし。
って、それはあなたの個人的な思い込みですか?それともセキュリティ業界では一般的な概念なんですか?それとも確立された定説ですか?
理想はそうですが例えば多様性の無いiOS 1台の中にも多数の脆弱性が存在しているので
極論するとアプリケーションも多様性を排除して1種類以下としますか?(1つのアプリケーションも多数のモジュールからなるので....)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
前からわかってたこと (スコア:2, 興味深い)
多様性があったほうがいいなんてのは何億年も前から自然界での鉄則ですから
攻撃する側からすれば手間がかかる上にひとつの手法でターゲットにできる相手のかすが少なくて旨味がない
iOSなんて全員クローン状態なのでそっち狙うに決まってるわけです
Re: (スコア:0)
遺伝的・遺伝子的ですね
そして進化には努力が必要と日本語ではよく使われるが、
進化・生き残りには運しかないことを再度強調しておきたい。
Re:前からわかってたこと (スコア:2, すばらしい洞察)
「どれかが生き残れば良い」ではなく「誰も死んではいけない」なのです。セキュリティにおいては。
100台の端末があってうち1台が攻略方法のある機種・アプリ環境だったら、その穴から侵入されてしまうかも知れないじゃないですか。そういうのを「セキュリティホール」っていいますよね。多様性はセキュリティホールを生みます。
Re:前からわかってたこと (スコア:3)
一部が死ぬのを前提にセキュリティとか考えるものだと思うんだけど?
「誰も死んではいけない」ってのは絶対に守れるもんじゃないし、多様性を排除して単一種になったとしたら1台が死んだら全滅するわけでもあるし。
# セキュリティにも安全神話はないと思うのです。
Re: (スコア:0)
反原発的絶対安全概念ではないですかね?
Re: (スコア:0)
関西電力の原発依存率は50%越えてたな。
Re: (スコア:0)
端末がやられることとLANに侵入されることは別ですよ。そっちはそっちで対策して当然。でもその対策には出番がない方がいい。内部FWで食い止められるからって、弱い端末がやられてもいいとは言えないでしょう。システムの性格にもよりますが。
バックアップサーバーがあるから本番系で無茶やってもいいことにはなりませんよね。
Re:前からわかってたこと (スコア:2)
多様性を考えた上でのセキュリティなんだから、当然いろんな端末からアクセスがくるサーバーなどの上位のレイヤーでのセキュリティ概念のつもりで話してました。
ケータイキャリアのようにサービス側が端末のセキュリティに干渉できるなら事情は変わるけど、まずは単純化して考えた方がいいかなと思って。
# 端末メーカー側が「多様性があるからうちのスマホはセキュリティ弱くてもいいんですよ」とか言ってたら目も当てられない。そこはそのレイヤーにあったセキュリティを考えるべきだし。
Re: (スコア:0)
「どれかが生き残れば良い」ではなく「誰も死んではいけない」なのです。セキュリティにおいては。
って、それはあなたの個人的な思い込みですか?それともセキュリティ業界では一般的な概念なんですか?それとも確立された定説ですか?
Re: (スコア:0)
理想はそうですが
例えば多様性の無いiOS 1台の中にも多数の脆弱性が存在しているので
極論するとアプリケーションも多様性を排除して1種類以下としますか?
(1つのアプリケーションも多数のモジュールからなるので....)