アカウント名:
パスワード:
>ネットワークをモニタすることで、比較的容易にその通信内容を盗み見ることが可能でありmemcachedに限らず、FTPやSMTPなんかも同様なんですがそれをセキュリティホールと言っていいのでしょうか?想定してない欠陥を突かれて漏洩などが起こるのであればセキュリティホールだと思っていたのですが初めから想定されていた動作もセキュリティホールだ、と言われるとなんだかなーという気がします。
>bit.ly や Globworld、Gowalla といったサイトではインターネットから memcached へのアクセスが可能でありプライベートで利用されることを想定してるツールをグローバルで利用できるようになってる事自体が異常な状態では?どうみてもサービスの欠陥としか思えませんが。
すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?
それこそ素のFTPは使用禁止にしているところもあるような……
元コメントにあるようにローカルネットワークで使う物でrawデータの送受信しか流せない物にID/PSなどのデータを詰め込んでグローバルネットワークに公開しているのが根本的におかしいのであってそれをもってmemcachedのセキュリティーホールだというのは無理がある。
MySQLをアクセス制限もユーザ認証の設定もせずに外部に公開してDELETEもDROPもできるし、しかもSELECTでID/PASSを平文で出力できた!これはMySQLのセキュリティーホールだ!と言って誰がまともに取り合うのですか?これは「ソフト」のセキュリティーホールではなく「サービス」のセキュリティーホールです。
> すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、>納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?
smtpsを使ってのメール送信はクライアントサーバ間は暗号化されていますがサーバサーバ間の配送はsmtpで平文のままです。このことについてsmtpsのセキュリティホールだと主張して世の中のコンセンサスは得られると思いますか?
オフトピ:DPI [google.co.jp]に対してhttpにはhttps、telnetにはssh、ftpにはftps/sftp/scpがあるけどユーザーユーザーまで一貫して暗号化しているシステムがはやくこないかなとは思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
何を今更・・・ (スコア:4, すばらしい洞察)
>ネットワークをモニタすることで、比較的容易にその通信内容を盗み見ることが可能であり
memcachedに限らず、FTPやSMTPなんかも同様なんですがそれをセキュリティホールと言っていいのでしょうか?
想定してない欠陥を突かれて漏洩などが起こるのであればセキュリティホールだと思っていたのですが
初めから想定されていた動作もセキュリティホールだ、と言われるとなんだかなーという気がします。
>bit.ly や Globworld、Gowalla といったサイトではインターネットから memcached へのアクセスが可能であり
プライベートで利用されることを想定してるツールをグローバルで利用できるようになってる事自体が異常な状態では?
どうみてもサービスの欠陥としか思えませんが。
Re: (スコア:1)
すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、
納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?
それこそ素のFTPは使用禁止にしているところもあるような……
Re:何を今更・・・ (スコア:0)
元コメントにあるようにローカルネットワークで使う物で
rawデータの送受信しか流せない物にID/PSなどのデータを詰め込んで
グローバルネットワークに公開しているのが根本的におかしいのであって
それをもってmemcachedのセキュリティーホールだというのは無理がある。
MySQLをアクセス制限もユーザ認証の設定もせずに外部に公開して
DELETEもDROPもできるし、しかもSELECTでID/PASSを平文で出力できた!
これはMySQLのセキュリティーホールだ!
と言って誰がまともに取り合うのですか?
これは「ソフト」のセキュリティーホールではなく
「サービス」のセキュリティーホールです。
> すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、
>納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?
smtpsを使ってのメール送信はクライアントサーバ間は暗号化されていますが
サーバサーバ間の配送はsmtpで平文のままです。
このことについてsmtpsのセキュリティホールだと主張して
世の中のコンセンサスは得られると思いますか?
オフトピ:
DPI [google.co.jp]に対してhttpにはhttps、telnetにはssh、ftpにはftps/sftp/scpがあるけど
ユーザーユーザーまで一貫して暗号化しているシステムがはやくこないかなとは思います。