パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Memcached に潜むセキュリティホール」記事へのコメント

  • 何を今更・・・ (スコア:4, すばらしい洞察)

    by Anonymous Coward

    >ネットワークをモニタすることで、比較的容易にその通信内容を盗み見ることが可能であり
    memcachedに限らず、FTPやSMTPなんかも同様なんですがそれをセキュリティホールと言っていいのでしょうか?
    想定してない欠陥を突かれて漏洩などが起こるのであればセキュリティホールだと思っていたのですが
    初めから想定されていた動作もセキュリティホールだ、と言われるとなんだかなーという気がします。

    >bit.ly や Globworld、Gowalla といったサイトではインターネットから memcached へのアクセスが可能であり
    プライベートで利用されることを想定してるツールをグローバルで利用できるようになってる事自体が異常な状態では?
    どうみてもサービスの欠陥としか思えませんが。

    • すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、
      納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?

      それこそ素のFTPは使用禁止にしているところもあるような……

      • by Anonymous Coward

        ならば現状で存在するすべてのプロトコル、通信がセキュリティホールであり暗号化すべきでしょう。
        それがされてないのは暗号化しないことによるメリット(高速性など)の方が大きいからです。

        >FTPは使用禁止にしているところもある
        FTPはインターネット上のすべてのサービスで使えないようになってますか?
        それがされてないならやはりFTPもあなたが言うようにmemcachedと同じセキュリティホールでしょう。
        #私が知ってる限りFTPをファイルやりとりの手段として使えるサービスはまだ多く存在していますし、memcachedも多くはプライベートでしか使われません。

        このように使い手次第でいかようにもなるものを捕まえて「理想的にこうあるべき!そうでなければセキュリティホール」と言うのは偏見でしかない。

        • セキュリティレベルはサービス内容で決める事
          それが判断出来るのは素晴らしい事であります

          でも、ガンブラーでググれ。とでも言わなきゃ駄目でありますかね……?

          • by Anonymous Coward on 2010年08月11日 9時12分 (#1808004)

            >セキュリティレベルはサービス内容で決める事
            だからこそ、memcachedはプライベートで使われるべきなんですが。
            サービス内容に適してないツール使ってるのにそのツールは欠陥だ、暗号化されているべきというのは論点のすり替えでしかありません。
            WebでのログインはHTTP認証だったら気になりますよね?
            そこはHTTPSであるべきと思いますよね?
            そういう話です。あなたの言ってるのはHTTPは欠陥だすべて暗号化されてるべきと言ってるのと同じです。

            >でも、ガンブラーでググれ。とでも言わなきゃ駄目でありますかね……?
            そのままそっくりお返ししますよ。
            ここで例としてガンブラーを挙げるのは仕組み、蔓延した原因なにも分かってないですよね?

            親コメント
            • by Sukoya (33993) on 2010年08月11日 10時21分 (#1808023) 日記

              ああ、そうか。求めている要件が違いすぎる
              貴方が正しい
              問題が起きた時に、迅速に解決出来るならばそれでいい

              >ガンブラー
              ガンブラーで、FTPの脆弱性が改めて浮き彫りになった
              アプリケーションの脆弱性の問題だったとはいえ、そもそもFTP自体に脆弱性があるよね
              って話でありますよ……?

              親コメント
              • by Anonymous Coward

                あなたのおっしゃる脆弱性とは一般的に使われるセキュリティホールとは異なります。
                セキュリティホールとは欠陥であり脆弱性とは仕様上の欠点です。
                memcachedは脆弱さを犠牲にして速度を最優先に考えられています。
                ただし、これはセキュリティホールではありません。
                同様に平文で通信されるプロトコルはすべて脆弱であるといえますがいずれもそれ自体がセキュリティホールというわけではありません。
                それでも通信路を暗号化してない=セキュリティホールと言えますか?

                >アプリケーションの脆弱性の問題だったとはいえ、そもそもFTP自体に脆弱性があるよねって話でありますよ……?
                FTPではなくすべての平文通信のプロトコルはタッピングに対する脆弱性を持っています。
                ガンブラーを例にあげてますが、まさか暗号化経路だったらガンブラーによるアカウントハックは防げたとでも?
                もう一度、経緯と仕組み、個々のアプリケーションでの問題について復習したほうがよいかと。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...