インターネットへの投稿
記事番号00189へのフォローを投稿します。
お名前(ペンネイムで結構ですが必要です)
(
ブラウザに個人情報を覚えさせない)
電子メイルアドレス(必要です)
題名(必要です)
Home Page がある方はリンク希望先の URL を記載して下さい
会議室に載せたい内容を以下へお書き下さい (
HTMLを解釈せずにそのまま表示)
2月6日に、竹田 伸幸さんは書きました。 >#ちょっとやり直し。 > >2月4日に、Akitaka HOSOMIさんは書きました。 > >>で、内容が内容だけに、ユーザから信頼されるべき、サイト管理の立場にある者ならば、 >>自分が知った特殊な情報の取り扱いとか他サイトへの配慮などは、当然必要である、と >>考えるわけです。 > >本来、『危弱性の指摘』と『侵入方法の指摘』は異なるものです。 >『危弱性の指摘』は広くアナウンスするべきであるが『侵入方法の指摘』 >はアナウンスするべきではありません。 > >例えば、米国CERT/CC とか JPCERT/CC とかの『危弱性の指摘』の内容を >みて侵入方法がわかる人って限られます。 > >また、現在は、スキャンツールが簡単に手に入ってしまうという事実を >忘れてはいけません。 >市販されているセキュリティ監査ツールは、使い方を誤れば、スキャン >ツールとして利用できてしまいます。 > >有名なのだと、ちょっと古いけど SATAN なんていう WWWブラウザで >利用できるセキュリティ監査ツールがありますね。 >指定したホストの*既知の*セキュリティホールを見つけてくれる >ものです。 > >あくまでバージョンなどから、既に知られている問題の有る設定や >ソフトウェアが動いていないか調べるだけです。知識がなくても >そのホストには、どんな問題が有るかはわかるでしょう。ただ、 >問題を指摘するだけです。 > >問題が有るとわかっても、それでどうやったら侵入できるかという >のには、それなりの知識が必要です。 > >実際、米国CERT/CC とか JPCERT/CC とかが『危弱性の指摘』の内容を >アナウンスすると、それを試みたと思われる不正アクセスが増えることは >広く知られています。しかし、実際に侵入経路までわかっていてアクセス >するのはごく一部ですあるのも事実です。 > ># 例えば、『○○には財宝が間違いなく眠っている。』って、報道 ># されれば、もの好きな連中が探しにいくかも知れませんが、実際 ># にも知られず財宝見つけられる人なんて、限られますよねぇ。 ># それと同じ話 :) > >古い qpopper のセキュリティホールや phf の問題を、一般の人が >知っても、それで具体的にどう侵入するかわかり、実際侵入できる >人は少ないでしょう。 > ># qpopper のバッファオーバフローさせて、コードを送り込む ># なんて、16進数ダンプリストを直接、読んだり書いたりできる ># 人でないと最低限無理でしょうねぇ。 > >インターネットマガジンや INTERNET watch などでも、セキュリティ >ホールをアナウンスすることもありますね。 >そのアナウンスで、問題が有ることは、多くの人に知られるけど >どう攻撃するかわかる人は限られるでしょう。 > >侵入するような人はアンダグランドで継っているので、するような >人は、CERT などでアナウンスされる前に気づいているかもしれません。 > >スキャンが誰でもできてしまい、サーバの危弱性は、簡単にばれて >しまうという現状では、それを前提で、考えなければいけません。 > > >もちろん、『侵入方法の公開』なんてのは問題外です。 > >そういう意味で、昔 Windows NT でサーバ権限を乗っとる方法が有ると >アナウンスされたことがありましたが、 >それだけでなく、 具体的なソフトまで雑誌とかで紹介されたのは、 >何だかなぁとは思います。
cavin@cavin.co.jp
Last Update: 27 April 2022