アカウント名:
パスワード:
物理的にアクセスできる時点で、そういうセキュリティは終わってるんだよ。こんなもんを脆弱性だと言うんだったらHDDを外して持ち運べよ。
物理的アクセスが必要ってだけなら移動中を狙うとかあると思いますがFeature Updateを実行させる必要があるっていうのは…現実的にどうなんでしょうか。ストーリーには「アップデートさえ実行できれば」とか気軽に書いてるけど。
アップデート中には管理者権限を持っていない人間には触らせない、という対策が要りそう。残業してる奴とか寝泊まりしてる奴を完全に追い出してからでないとアップデート出来ない。
HDDの暗号化とか最低限の権限しか与えないとか、適切に設計された社内システムなら、一般社員用の端末に物理アクセスしても、
・与えられた権限の範囲でその端末、および、社内LANの情報にアクセスしたり攻撃したりする・その端末に保存されたデータ、および、その端末自体を破壊する
しかできないけど、今回のお粗末な脆弱性を使うと、
・その端末に保存された全情報にアクセス出来る
という可能な悪さが増えてしまう。
シンクライアント化して機能アップデート中はアクセスできないようにすれば解決。
シンクライアントなら、個別にアップデートなんかせずに普通マスタ化してるだろ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
物理アクセス (スコア:0)
物理的にアクセスできる時点で、そういうセキュリティは終わってるんだよ。
こんなもんを脆弱性だと言うんだったらHDDを外して持ち運べよ。
Re: (スコア:0)
物理的アクセスが必要ってだけなら移動中を狙うとかあると思いますが
Feature Updateを実行させる必要があるっていうのは…現実的にどうなんでしょうか。
ストーリーには「アップデートさえ実行できれば」とか気軽に書いてるけど。
Re: (スコア:0)
アップデート中には管理者権限を持っていない人間には触らせない、という対策が要りそう。
残業してる奴とか寝泊まりしてる奴を完全に追い出してからでないとアップデート出来ない。
HDDの暗号化とか最低限の権限しか与えないとか、適切に設計された社内システムなら、一般社員用の端末に物理アクセスしても、
・与えられた権限の範囲でその端末、および、社内LANの情報にアクセスしたり攻撃したりする
・その端末に保存されたデータ、および、その端末自体を破壊する
しかできないけど、今回のお粗末な脆弱性を使うと、
・その端末に保存された全情報にアクセス出来る
という可能な悪さが増えてしまう。
Re:物理アクセス (スコア:0)
シンクライアント化して機能アップデート中はアクセスできないようにすれば解決。
Re: (スコア:0)
シンクライアントなら、個別にアップデートなんかせずに普通マスタ化してるだろ。