アカウント名:
パスワード:
言ってることはわかるんだけど、PCはたとえグローバルアドレスが割り振られても大過なく使えるようになっててほしいね。むしろ、LANの中だけ油断する方が筋が通らないというか。
FWを設定できる人が絶対的に少ないだけ。正しい設定方法を説明したところで、ググって違う答えを見つければそっちを信じてしまうのでもうどうにもならない。
Windowsファイアウォールのプライベートとパブリック設定、どれくらい認知されてるんだろ。
このトピックだと、「PCの設定によっては」となっているが、その辺はMSが非常によく考えて設計してあるのでよほど無茶しなければズカズカ入られたりしない。狙われたのは「IT資産管理ソフト」つまり、外からつながるようにFWを設定変更するようベンダが指示してるはず。FWがあってもよってたかって壊すんだからどうにもならない。
なんかまさに、ファイアウォールのプロファイル設定が認知されているのか微妙なコメントが付いた気がしないでもない。
Windowsファイアウォールの設定は本来はツールパッケージのインストーラが行えばよくて、ユーザーが設定する必要は基本的に無い。ただユーザーは、接続しているネットワークがプライベートなものなのかパブリックなものなのかは意識していなければならない。
いやだから、なんとかいう資産管理パッケージが(直接インストーラでやったか、ユーザーに開けさせたかはともかく)パブリックネットワークにつながっているのにポートを開けたから問題が起きたわけで、グローバルIPが付けられたかどうかはあまり大きな問題じゃない。それなのに、ルータがグローバルIPを振ったから、のような問題提起が起こること自体が、FWに対する無知から来るものだ。と言いたいだけ。何度も言うけど、もう治らない。
件のソフトは確かにポートを開けてるんだろうけど、ポートを開けること自体を責めてもしょうがない。だってそのポート使うんだろうからさ。開けたポートの対応はそいつが受けるんだから、そこに脆弱性があったらいけないよねって話。
https://www.jpcert.or.jp/at/2016/at160051.html [jpcert.or.jp]
グローバルアドレスを振らないとか、ポート自体を塞ぐとか、そういうので攻撃がおこらないってのは、実際にそうなんだろうけど、それを解決方法にしたら脆弱なままになる。
言いたいのはつまり、間違っているのはファイアウォール(のポート)の設定とは限らないのでは、ってこと。
「IT資産管理ソフト」は普通に考えてパブリックネットワークで使うものではないので、パブリックのプロファイルにポートの穴を開ける必要はない。ユーザーに設定させなければ、間違ってパブリックに穴を開けてしまう設定が行われることも無い。
しかし、ユーザーが間違ってパブリック向けのネットワーク(件のWiFiとか)をプライベートネットワークに設定してしまう事はあるかもしれない。そこでそもそも、パブリックとプライベート(あとドメインも)設定って正しく認知されているのだろうかという疑問に至ったのが #3338469。
それに対して#3338515がどうも話が繋がってないように見えたので、間を埋めようとしたのが#3338536、というワケ。一応補足だけ。
>つても情シスが社内のPCを乗っ取って自由に管理するためのソフトだし
本来、この手のソフトこそ最高のセキュリティが担保されてなきゃいけないんだけどね。たとえばsshがガバガバだったら話にならんだろう。
残念なことに「資産管理ソフト」の9割以上はプログラマの質を疑うレベルなんだけど。メモリリークはするわメールは消えるはPCフリーズするわ・・・
挙げ句の果てに、普通に動いているシステムの動作まで妨害するからね、運用コスト削減を謳う割に、監視ツールで余計な工数が増えるのはありなのかと。
OSはそういうものを許すプログラミングモデルを採用すべきではないし、技術者は危険な思想だと正しく認識するセンスを持つべき
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
全ての機器にグローバルアドレスを (スコア:3, すばらしい洞察)
言ってることはわかるんだけど、PCはたとえグローバルアドレスが割り振られても大過なく使えるようになっててほしいね。むしろ、LANの中だけ油断する方が筋が通らないというか。
Re: (スコア:0)
FWを設定できる人が絶対的に少ないだけ。
正しい設定方法を説明したところで、ググって違う答えを見つければそっちを信じてしまうのでもうどうにもならない。
Re: (スコア:0)
Windowsファイアウォールのプライベートとパブリック設定、どれくらい認知されてるんだろ。
Re: (スコア:1)
このトピックだと、
「PCの設定によっては」となっているが、その辺はMSが非常によく考えて設計してあるのでよほど無茶しなければズカズカ入られたりしない。
狙われたのは「IT資産管理ソフト」つまり、外からつながるようにFWを設定変更するようベンダが指示してるはず。
FWがあってもよってたかって壊すんだからどうにもならない。
Re: (スコア:0)
なんかまさに、ファイアウォールのプロファイル設定が認知されているのか微妙なコメントが付いた気がしないでもない。
Windowsファイアウォールの設定は本来はツールパッケージのインストーラが行えばよくて、ユーザーが設定する必要は基本的に無い。
ただユーザーは、接続しているネットワークがプライベートなものなのかパブリックなものなのかは意識していなければならない。
Re:全ての機器にグローバルアドレスを (スコア:0)
いやだから、なんとかいう資産管理パッケージが(直接インストーラでやったか、ユーザーに開けさせたかはともかく)パブリックネットワークにつながっているのにポートを開けたから問題が起きたわけで、グローバルIPが付けられたかどうかはあまり大きな問題じゃない。
それなのに、ルータがグローバルIPを振ったから、のような問題提起が起こること自体が、FWに対する無知から来るものだ。
と言いたいだけ。何度も言うけど、もう治らない。
Re: (スコア:0)
件のソフトは確かにポートを開けてるんだろうけど、ポートを開けること自体を責めてもしょうがない。だってそのポート使うんだろうからさ。開けたポートの対応はそいつが受けるんだから、そこに脆弱性があったらいけないよねって話。
https://www.jpcert.or.jp/at/2016/at160051.html [jpcert.or.jp]
グローバルアドレスを振らないとか、ポート自体を塞ぐとか、そういうので攻撃がおこらないってのは、実際にそうなんだろうけど、それを解決方法にしたら脆弱なままになる。
Re: (スコア:0)
言いたいのはつまり、間違っているのはファイアウォール(のポート)の設定とは限らないのでは、ってこと。
「IT資産管理ソフト」は普通に考えてパブリックネットワークで使うものではないので、
パブリックのプロファイルにポートの穴を開ける必要はない。
ユーザーに設定させなければ、間違ってパブリックに穴を開けてしまう設定が行われることも無い。
しかし、ユーザーが間違ってパブリック向けのネットワーク(件のWiFiとか)をプライベートネットワークに設定してしまう事はあるかもしれない。
そこでそもそも、パブリックとプライベート(あとドメインも)設定って正しく認知されているのだろうかという疑問に至ったのが #3338469。
それに対して#3338515がどうも話が繋がってないように見えたので、間を埋めようとしたのが#3338536、というワケ。
一応補足だけ。
Re: (スコア:0)
何でもやりたい放題できないと意味ない
Re: (スコア:0)
>つても情シスが社内のPCを乗っ取って自由に管理するためのソフトだし
本来、この手のソフトこそ最高のセキュリティが担保されてなきゃいけないんだけどね。
たとえばsshがガバガバだったら話にならんだろう。
残念なことに「資産管理ソフト」の9割以上はプログラマの質を疑うレベルなんだけど。
メモリリークはするわメールは消えるはPCフリーズするわ・・・
Re: (スコア:0)
挙げ句の果てに、普通に動いているシステムの動作まで妨害するからね、
運用コスト削減を謳う割に、監視ツールで余計な工数が増えるのはありなのかと。
Re: (スコア:0)
OSはそういうものを許すプログラミングモデルを採用すべきではないし、技術者は危険な思想だと正しく認識するセンスを持つべき