アカウント名:
パスワード:
>ネットワークをモニタすることで、比較的容易にその通信内容を盗み見ることが可能でありmemcachedに限らず、FTPやSMTPなんかも同様なんですがそれをセキュリティホールと言っていいのでしょうか?想定してない欠陥を突かれて漏洩などが起こるのであればセキュリティホールだと思っていたのですが初めから想定されていた動作もセキュリティホールだ、と言われるとなんだかなーという気がします。
>bit.ly や Globworld、Gowalla といったサイトではインターネットから memcached へのアクセスが可能でありプライベートで利用されることを想定してるツールをグローバルで利用できるようになってる事自体が異常な状態では?どうみてもサービスの欠陥としか思えませんが。
すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?
それこそ素のFTPは使用禁止にしているところもあるような……
ならば現状で存在するすべてのプロトコル、通信がセキュリティホールであり暗号化すべきでしょう。それがされてないのは暗号化しないことによるメリット(高速性など)の方が大きいからです。
>FTPは使用禁止にしているところもあるFTPはインターネット上のすべてのサービスで使えないようになってますか?それがされてないならやはりFTPもあなたが言うようにmemcachedと同じセキュリティホールでしょう。#私が知ってる限りFTPをファイルやりとりの手段として使えるサービスはまだ多く存在していますし、memcachedも多くはプライベートでしか使われません。
このように使い手次第でいかようにもなるものを捕まえて「理想的にこうあるべき!そうでなければセキュリティホール」と言うのは偏見でしかない。
セキュリティレベルはサービス内容で決める事それが判断出来るのは素晴らしい事であります
でも、ガンブラーでググれ。とでも言わなきゃ駄目でありますかね……?
セキュリティレベルはサービス内容で決めるのは同意ですが、ガンブラーの蔓延はネットワークが暗号化されてなかったせいじゃないですよ?ちゃんとググりましたか?
>セキュリティレベルはサービス内容で決める事だからこそ、memcachedはプライベートで使われるべきなんですが。サービス内容に適してないツール使ってるのにそのツールは欠陥だ、暗号化されているべきというのは論点のすり替えでしかありません。WebでのログインはHTTP認証だったら気になりますよね?そこはHTTPSであるべきと思いますよね?そういう話です。あなたの言ってるのはHTTPは欠陥だすべて暗号化されてるべきと言ってるのと同じです。
>でも、ガンブラーでググれ。とでも言わなきゃ駄目でありますかね……?そのままそっくりお返ししますよ。ここで例としてガンブラーを挙げるのは仕組み、蔓延した原因なにも分かってないですよね?
ああ、そうか。求めている要件が違いすぎる貴方が正しい問題が起きた時に、迅速に解決出来るならばそれでいい
>ガンブラーガンブラーで、FTPの脆弱性が改めて浮き彫りになったアプリケーションの脆弱性の問題だったとはいえ、そもそもFTP自体に脆弱性があるよねって話でありますよ……?
あなたのおっしゃる脆弱性とは一般的に使われるセキュリティホールとは異なります。セキュリティホールとは欠陥であり脆弱性とは仕様上の欠点です。memcachedは脆弱さを犠牲にして速度を最優先に考えられています。ただし、これはセキュリティホールではありません。同様に平文で通信されるプロトコルはすべて脆弱であるといえますがいずれもそれ自体がセキュリティホールというわけではありません。それでも通信路を暗号化してない=セキュリティホールと言えますか?
>アプリケーションの脆弱性の問題だったとはいえ、そもそもFTP自体に脆弱性があるよねって話でありますよ……?FTPではなくすべての平文通信のプロトコルはタッピングに対する脆弱性を持っています。ガンブラーを例にあげてますが、まさか暗号化経路だったらガンブラーによるアカウントハックは防げたとでも?もう一度、経緯と仕組み、個々のアプリケーションでの問題について復習したほうがよいかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
何を今更・・・ (スコア:4, すばらしい洞察)
>ネットワークをモニタすることで、比較的容易にその通信内容を盗み見ることが可能であり
memcachedに限らず、FTPやSMTPなんかも同様なんですがそれをセキュリティホールと言っていいのでしょうか?
想定してない欠陥を突かれて漏洩などが起こるのであればセキュリティホールだと思っていたのですが
初めから想定されていた動作もセキュリティホールだ、と言われるとなんだかなーという気がします。
>bit.ly や Globworld、Gowalla といったサイトではインターネットから memcached へのアクセスが可能であり
プライベートで利用されることを想定してるツールをグローバルで利用できるようになってる事自体が異常な状態では?
どうみてもサービスの欠陥としか思えませんが。
Re: (スコア:1)
すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、
納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?
それこそ素のFTPは使用禁止にしているところもあるような……
Re: (スコア:0)
ならば現状で存在するすべてのプロトコル、通信がセキュリティホールであり暗号化すべきでしょう。
それがされてないのは暗号化しないことによるメリット(高速性など)の方が大きいからです。
>FTPは使用禁止にしているところもある
FTPはインターネット上のすべてのサービスで使えないようになってますか?
それがされてないならやはりFTPもあなたが言うようにmemcachedと同じセキュリティホールでしょう。
#私が知ってる限りFTPをファイルやりとりの手段として使えるサービスはまだ多く存在していますし、memcachedも多くはプライベートでしか使われません。
このように使い手次第でいかようにもなるものを捕まえて「理想的にこうあるべき!そうでなければセキュリティホール」と言うのは偏見でしかない。
Re:何を今更・・・ (スコア:1)
セキュリティレベルはサービス内容で決める事
それが判断出来るのは素晴らしい事であります
でも、ガンブラーでググれ。とでも言わなきゃ駄目でありますかね……?
Re: (スコア:0)
セキュリティレベルはサービス内容で決めるのは同意ですが、
ガンブラーの蔓延はネットワークが暗号化されてなかったせいじゃないですよ?
ちゃんとググりましたか?
Re: (スコア:0)
>セキュリティレベルはサービス内容で決める事
だからこそ、memcachedはプライベートで使われるべきなんですが。
サービス内容に適してないツール使ってるのにそのツールは欠陥だ、暗号化されているべきというのは論点のすり替えでしかありません。
WebでのログインはHTTP認証だったら気になりますよね?
そこはHTTPSであるべきと思いますよね?
そういう話です。あなたの言ってるのはHTTPは欠陥だすべて暗号化されてるべきと言ってるのと同じです。
>でも、ガンブラーでググれ。とでも言わなきゃ駄目でありますかね……?
そのままそっくりお返ししますよ。
ここで例としてガンブラーを挙げるのは仕組み、蔓延した原因なにも分かってないですよね?
Re:何を今更・・・ (スコア:1)
ああ、そうか。求めている要件が違いすぎる
貴方が正しい
問題が起きた時に、迅速に解決出来るならばそれでいい
>ガンブラー
ガンブラーで、FTPの脆弱性が改めて浮き彫りになった
アプリケーションの脆弱性の問題だったとはいえ、そもそもFTP自体に脆弱性があるよね
って話でありますよ……?
Re: (スコア:0)
あなたのおっしゃる脆弱性とは一般的に使われるセキュリティホールとは異なります。
セキュリティホールとは欠陥であり脆弱性とは仕様上の欠点です。
memcachedは脆弱さを犠牲にして速度を最優先に考えられています。
ただし、これはセキュリティホールではありません。
同様に平文で通信されるプロトコルはすべて脆弱であるといえますがいずれもそれ自体がセキュリティホールというわけではありません。
それでも通信路を暗号化してない=セキュリティホールと言えますか?
>アプリケーションの脆弱性の問題だったとはいえ、そもそもFTP自体に脆弱性があるよねって話でありますよ……?
FTPではなくすべての平文通信のプロトコルはタッピングに対する脆弱性を持っています。
ガンブラーを例にあげてますが、まさか暗号化経路だったらガンブラーによるアカウントハックは防げたとでも?
もう一度、経緯と仕組み、個々のアプリケーションでの問題について復習したほうがよいかと。