WindowsとLinuxのセキュリティ: 噂の真相とは? 102
ストーリー by wakatono
スコア:1,参考になる 部門より
スコア:1,参考になる 部門より
jbeef曰く、"このトピックアイコンでタレ込むのはアレゲなのだが、 マイクロソフト株式会社のSTPP(ストラテジックテクノロジープロテクションプログラム)の一環で開催された第1回STPPセキュリティ対策セミナーの一部の講演の模様が、ビデオ付きスライドで公開された(ただしIE専用)。セキュリティホールmemoでお馴染みの小島肇氏のご講演「WindowsとLinuxのセキュリティ:噂の真相」は必見だ。スラッシュドットも噂のネタにあがってますぞ。くれぐれも「MSの手先に?」とかのコメントは「余計なもの」ということで。 内容は客観的で正しいと私は思う。"
"なお、視聴には、なにやらActiveXコントロールのインストールが必要なようだ。セキュリティ上の不安を感じる方は見終わったら削除できる(インターネットオプション-全般-インターネット一時ファイル-設定-オブジェクトの表示で、「IEAnimBehaviorFactory Class」をゴミ箱に捨てる)ので、いやがらずお近くのWindowsマシンでお試しを。もちろん自己責任で。"
オレ自身もこのセミナはこのセッションを受講することを最大目的に参加してきた。正直、参加できなかった/知らなかった人は、可能な限り視聴することをお勧めする。個人的には、JPCERT/CCの山賀氏のセッションデータが非公開なのがちょっと残念。
第一回STPPセキュリティー対策セミナー (スコア:5, 参考になる)
噂の真相
日本 Windows NT ユーザ会 (JWNTUG)
Event Planning Working Group
小島 肇
今日のおはなし
■噂 1: Linux は Windows よりも安全だ
■噂 2: Apache は IIS よりも安全だ
■噂 3: Netscape / Mozilla, Opera は IE より
も安全だ
■噂 4: Microsoft はセキュリティ fix が遅いし
セキュリティ情報も開示しない
■ まとめにならないまとめ
念のため
■このプレゼンテーションは、JWNTUG を代
表するものでも、JWNTUG の総意でもあり
ません。あくまで小島個人の意見に基づく
ものです。
■このプレゼンテーションから得た情報は、
あくまで at your own risk でご活用ください。
噂 1:
Linux は Windows よりも安全だ
実態事例 (1)
■Eiji James Yoshida 氏がまとめられている「改ざん
されたサイトの Open Port (TCP) ランキング
(2002.05.01-31) 」 [*] より
ОS 件数(/1111)
────────────────────
Linux 316
Linux を除いた UNIX 系 314
その他 (不明含む) 303
[*] http://www.geocities.co.jp/SiliconValley/1667/index.htm
実態事例 (2)
■SecurityFocus.com の 2002 Q1 TOP 10 attacks [*]
1.Code Red - MS Indexing Server/Indexing Services ISAPI Buffer Overflow Attack
2.Nimda - Microsoft IIS 4.0/5.0 Extended UNICODE Directory Traversal Attack
3.Matt Wright Formmail Attack
4.WU-FTPD File Globbing Heap Corruption Attack
5.SSH CRC32 Compenation Detection Attack
6.Generic CDE dtspcd Buffer Overflow Attack
7.Generic System V Derived Login Buffer Overflow Attack
8.Generic SNMP PROTOS Test Suite Attacks
9.Shaft DDoS Client To Handler Attack
10.PHP Post File Upload Buffer Overflow Attack
[*] http://www.securityfocus.com/corporate/research/top10attacks_q1_2002.shtml
Re:第一回STPPセキュリティー対策セミナー (スコア:5, 参考になる)
■2002.01.01~2002.06.10 のセキュリティ fix の数
OS / ベンダー patch 数
────────────────────
Microsoft 26
RedHat Linux 7.2 46
Debian GNU/Linux 35
Sun 6
FreeBSD 27
注意! 上記の数字は一概に比較できない:累積的 patch の
存在、セキュリティアナウンスが不十分なベンダー (Sun) 等
真相: Linux だから安全、
ではない
■どんな OS であっても、日々発見される security
hole を随時 fix していく必要がある
-B レベルの "Trusted OS" にすら security hole はある
■不要なソフトウェアはインストールしない、不要な
サービスは起動しない
-インストールしなければ fix も必要ない
■ファイアウォール等による防衛は有効
-ただし限界もある
-web サーバ、web ブラウザ…
類似の噂: Open Source なら
Closed Source より安全だ
■「多くの目がある」神話
-絶対数
-商売 nOpen Source なら安全、ではない
-Open Source ならベンダーに依存せずに安全性を確認できる
-Open Source ならベンダーに依存せずに fix できる
-自分自身 and/or コミュニティの力
-Use the source, Luke!
噂 2:
Apache は IIS よりも安全だ
実態事例
■続々と発見される IIS の弱点
-MS00-078/086/01-026: UNICODE BUG
-MS01-023: IPP ISAPI buffer overflow
-MS01-033: Index server buffer overflow
-MS01-035: FrontPage Server Extensions buffer overflow
-MS01-044: cumulative patch (SSI buffer overflow 等)
-MS02-018: cumulative patch (ASP chunk encoding /
HTTP header / SSI / .HTR buffer overflow, CSS 等)
■いずれも危険性が高い
Web開発者の声
- JWNTUG アンケートから -
IIS
信頼性 :1.2
セキュリティー:0.9
作業行程 :4
アプリの対応 :3
開発工数 :2.2
Apache
信頼性 :2.9
セキュリティー:2
作業行程 :2
アプリの対応 :1.4
開発工数 :1.8
注)グラフチャートを目分量で変換(4点満点かと)
IIS
*信頼性がある 7%
*セキュリティがある 2%
*管理が容易 34%
*アプリの対応 26%
*開発が容易 18%
Apache
*信頼性がある 22%
*セキュリティがある 13%
*管理が容易 14%
*アプリの対応 7%
*開発が容易 12%
管理・開発が容易な IIS vs. 信頼性・セキュリティの高い apache という意識
Re:第一回STPPセキュリティー対策セミナー (スコア:4, 参考になる)
■何度か重要な修正が行われている
-1.3.12: クロスサイトスクリプティング脆弱性の fix
-1.3.14: 大規模な virtual hosting サイトにおいて Host:
ヘッダ処理に問題があり攻撃者が任意のファイルに
アクセス可能、CGI ソースの漏洩
-1.3.22: 特殊な Host: ヘッダにより任意の .log ファイルを上書き可能
■古い Apache を動かしている hosting 業者は多い
-1.3.13 以前は特に危険 nWin32 版にはさらに、致命的なものも含む、さまざまな弱点が
-1.3.24: Win32 Apache Remote comman execution
Apache は bug free ではない (続)
■よく使われる 3rd party モジュール
-PHP
≫PHP 4 .htaccess attribute transfer vuln. (bid 2206)
≫PHP 4 engine disable source viewing vuln. (bid 2205)
≫PHP post file upload buffer overflow (bid 4183)
-WebDAV
≫mod_encoding (20011026a, 20011211a)
-mod_ssl
≫buffer overflow (bid 4189)
-Apache tomcat
≫クロスサイトスクリプティング脆弱性 (bid 2982)
web application の弱点
■web サーバに依存しない
-SSI, CGI, ASP, JSP, PHP, ColdFusion, …
■情報漏洩
-特定ファイルを get するだけで漏洩するパターン多し
■なりすまし
-安易な「認証」
-cookie の漏洩→セッションハイジャック
■クロスサイトスクリプティング脆弱性
-cookie の漏洩→セッションハイジャック
-サイトの (virtual な?!) 改ざん
真相: IIS は確かにアレゲだが Apache で安心してはいけない
■IIS もきちんと設定すれば Apache 並にはできる
-file/directory パーミッションを修正
-不要なサンプルを削除 -不要な ISAPI を削除
-IIS Lockdown, URLScan, guard 3 による防衛
-patch は速やかに適用
■セキュリティ情報を注視し、適切に対応する必要があるのは IIS も Apache も同じ
-IIS 6 で少しは楽になるといいな (^^;;)
噂 3:
Netscape / Mozilla, Opera は IE
よりも安全だ
実態事例
■続々と発見される IE の弱点。
-今年だけでも MS02-005 / 008 / 009 / 013 / 015 / 022 / 023
≫多くが累積的 patch なので、実数は遥かに多い
≫厳密には、MS02-022 は MSN チャットコントロールの問題だ
し、02-013 は Java VM の問題だが、ユーザからは IE の問
題に見える
-まだ patch が発表されていない弱点も散見
≫ローカル HTML リソースのクロスサイトスクリプティング脆弱
性 (MS02-023 未 fix 分)
≫gopher:// buffer overflow (bid 4930)
≫ftp:// クロスサイトスクリプティング脆弱性 (bid 4954)
≫patch が出るころにはさらなる弱点が…
■正直言ってこの多さはシャレにならない。
Re:第一回STPPセキュリティー対策セミナー (スコア:5, 参考になる)
安心なのか?
■IE ほどではないがセキュリティホールが発見されている。
-Netscape 6.1~6.2.2 / mozilla 0.9.7~1.0RC1 でローカルファイル漏洩
-Opera 6.01 以前で cookie / ローカルファイル漏洩
-Opera 6.01, 6.02 で任意のローカルファイルが漏洩
■Opera はセキュリティ情報が公開されない!
-どんな問題があったのか、また本当に fix されたのか
がベンダー情報からはわからない
-日本語版配布元が独自にセキュリティ情報を発信中
■Netscape は日本語情報が維持されていない
-英語情報はそれなり
現状の IE は、bug だけでなく…
■危険なデフォルト値 -スクリプトからクリップボードを操作できてしまう
-MIME Content-Type: を無視する
≫Content-Type: text/plain な文書によるクロスサイトスクリプ
ティング脆弱性
≫fusianasan アタック (.gif による攻撃)
≫ユーザが挙動を変えられない→Opera は選択できる
-セキュリティゾーンのデフォルト設定
≫少しずつ安全側に来ているが…
■アクティブスクリプトを無効にすれば多くの場合弱点を回避できるが…
-microsoft.com 自身すらきちんと 操作できない (苦笑)
真相: 現状ではそのとおりだが Netscape, Opera にも注意
■インターネット = WWW 時代に IE の現状は許容できない
■メインが Netscape / Opera でサブブラウザが IE?
-セキュリティ情報には注意。特に Opera はベンダー情
報が信用できないため、初心者に勧めていいのか疑
問。Netscape も日本語情報は心もとない。
-IE コンポーネントを利用する 3rd party ブラウザは?
■今こそ「web ブラウザは OS の一部です」の実現を! (半分本気)
-OS 並の安定性・安全性が必要
-意図しない停止 (ブラウザクラッシャー等) も許容できない
噂 4:
Microsoft はセキュリティ fix が遅いしセキュリティ情報も開示しない
実態事例
■ftp:// クロスサイトスクリプティング脆弱性 (bid 4954)
-IE 詳細設定「FTP サイト用のフォルダビューを使用する」
-Explorer フォルダオプション「フォルダで web コンテンツを使う」
-上記 2 つが同時に有効な場合 (デフォルトで有効) に ftp:// URL
でクロスサイトスクリプティング脆弱性が発生、
マイコンピュータ権限でスクリプトが実行されてしまう
■半年も前に連絡したにもかかわらず、いまだに「調査中」だという
ある程度時間がかかるのは
仕方がない (らしい)
■なにしろシェアが違いすぎ
-ちょっとでも互換性がなくなればたちまち大顰蹙
-数多くの OS 種類、PC98x1 版、各国語版
-本当にいろいろな使われ方をしている
■ストレステストの実施
-48h
■とはいえ半年棚ざらしはないだろう…
-IE 関連は、たいていは 1.5~2 か月くらいで fix できているようだ
-OS だと 3~4 か月?
ときどき発生する変な対応
■事例: LAC 発見の「Content-Disposition 脆弱性の新しい変種」
-Microsoft からの修正がなかなか出ないので LAC が問題の存在を公開
http://www.lac.co.jp/security/intelligence/SNSAdvisory/48.html
-Microsoft は 3rd party software の問題であると反論
http://www.microsoft.com/technet/security/topics/snsrprt.asp
-ところがこの文書は唐突に Microsoft TechNet Security ページから
link されなくなってしまう。この際何の説明もない。
-MS02-023 で fix された
Microsoft の情報提供
■情報提供は最高水準
-web page での日本語情報提供 (時差ほとんどなし)
-mail での日本語情報提供 (時差ほとんどなし)
-肝心の情報が隠蔽されているきらいはあるが…
≫書いたら書いたで「わからない」と言われる (らしい)
≫どこまで公開するのか?
≫CVE (脆弱性情報データベース) 対応
■セキュリティ問題の対応窓口
-日本語で e-mail できない; secure@microsoft.com
-無料電話あるが時間が限られ (平日のみ 9:30-12:00 13:00-19:00「昼休みあり」)<修正済み
≫説明が CodeRed / Nimda 時代のまま
-MSKK セキュリティ担当自体は 24h 対応しているようだが…
情報公開についての
いくつかのことがら
■脅威度判定は自分で行うしかない
-Microsoft が示すのはあくまで目安
-その目安も少しずつ変化している
≫きつ目に変化 (歓迎すべき)
■OEM ベンダーからの情報も watch
参考になります (スコア:1)
# mishimaは本田透先生を熱烈に応援しています
Re:第一回STPPセキュリティー対策セミナー (スコア:1)
「盲信することなかれ」が主題なのかな (スコア:3, 参考になる)
- Linux / オープンソースだから Windows より安全、とはいえない
- IIS には大穴も多いがあまり使わない機能に穴が見つかることも多いため、不要な機能は切り離してきちんと設定・管理していれば安全に運用することもできる
- Apache とてきちんと設定・管理していなければ安全ではない
- IE はどんなに好意的にみてもダメだが Netscape / Opera だから安全とも限らないので注意が必要
- Microsoft のセキュリティ情報公開はすばらしいがバグへの対応はもっと早くしてほしいしすぐに対応できないならどのくらいかかるかアナウンスしてほしい
- 盲信していいのは djb 教くらい
てな理解でいいんでしょうか。結局のところ「~~なら安全、~~だと危険」的な盲信はダメ、どんなソフトウェアを使うにせよしっかり管理すれば安全に使えるし管理が甘ければ危険である、といったあたりまえのことをあたりまえに言っているんではないかと。
重箱のすみならつつきどころもあるのかもしれませんけど、総論としては公平なことを言っているように感じました (確かに言い回しとかで Microsoft への配慮が感じられる箇所はありましたが)。
ただ、アレゲという語をごくふつうに使っているのにはかなり違和感が。文脈から判断するとアレゲ=ダメというような意味だと思えばいいんでしょうか。
サポートを受けた経験... (スコア:2, 参考になる)
ここでの「噂」に対する「真相」としては至極もっともだと思います。
元コメントの方がおっしゃるとおり、要はXXなら安全というのは神話であるといっているのであって、これ自体にはなんら反論するとことはありません。プレゼンテーションでは、NTユーザ会の方なのでWindows方面にバイアスがかかるのも当然といえば当然です。
ただ、講演者の方がおっしゃっていた情報公開に関して日米の時差がないというのはどうかと。
セキュリティに関しては確かに情報の公開とfixの提供についてはあまり差はないですが、KBについては訳されてるのは感覚的に1/3くらいですかね。訳語の問題もあって検索でも英語じゃないと探せなかったりするし。
MSと年間数千万のサポート契約を結んでやった仕事の経験をお話すれば、
・MSのサポートは悪くはない。技術者も話せばわかる人が多い。
・(契約者には)セキュリティ問題もWork aroundができた時点で知らせてくれる。パッチなども作ってくれる(こともある)。
・ただし、問題の解析のために非現実的なくらいいろんなデータを送れといわれる(で、データがないと解析できないといわれる)。製品によってはデバッグオプションでログを1GB/10分吐くやつとかあるらしい。しかもCドライブに。
・質問1件につき(今年から)数万円(ただし製品のバグだと認めたときにはタダ)。
・で、結局、原因不明で再現待ちも多い(こんなときも交渉すればタダ)。
・でもMSが「わからない」といったというと客も納得する。
こんな感じです。実際、大規模なシステムではMSとサポート契約を結ばないと無理ですね。
#わかる人にはわかるかも知れないんでAC
Re:サポートを受けた経験... (スコア:1, 参考になる)
この程度ならどこも一緒だよ。
3GぐらいあるcoreをFTPでよこせと言うSUNベンダもいたし、
そもそもSUNの保守契約なんて半端じゃなく高いし、
あるプロダクトなんて、
デバッグログをフルダンプさせると10分でサーバダウンするし。
(ログ取れないじゃん…)
某DBなんて莫大な金額の保守費を取ってるくせに、
「そのメモリリークはバグです。アップグレードしてください」
とか平気で言うし。
(単独パッチぐらい出せや!)
ということで、と言うことでもないのですが、
>実際、大規模なシステムではMSとサポート契約を結ばないと無理ですね。
別にMSの問題ではなく、なんでもそうです。
ちなみに、あのJWNTUGのプレゼンはまんま「ですね」って感じ。
MS神話とかオープンソース神話なんて信じてる方がおかしい。
あの程度で脊髄反射する厨房は無視して良いでしょう。
所詮は自分の目にバイアスがかかっているのが理解できない輩なのですから。
#でも多いんだよね、そういう信者が。
#NTでまともにファイルサーバも作れないやつが
#明確な理由もなく「MSは危険」とかほざくし。
#それが会社で一緒に仕事してるかと思うと鬱
Re:サポートを受けた経験... (スコア:1)
実際ダンプファイルとかないとわかんないでしょうし。
>某DBなんて莫大な金額の保守費を取ってるくせに、
>「そのメモリリークはバグです。アップグレードしてください」
>とか平気で言うし。
>(単独パッチぐらい出せや!)
某DBがなにかは不明ですが、僕がさわったことのあるDBでもそういうことはありますね。
まあ、莫大な金額の保守費とはいえ、製品価格よりは安かったりするわけで既に次バージョンで修正済みの不具合を個別に修正するのはコスト的に厳しいのかもしれません。
ただ、こういうところに顧客の不満があるのは確かなわけでオープンソース系のDBとかが、顧客の要求に応じて不具合の修正を行ったパッチをすぐに提供できる体制を作れれば商用のシステムに対する大きなアドバンテージとなるかもしれませんね。
>>実際、大規模なシステムではMSとサポート契約を結ばないと無理ですね。
>別にMSの問題ではなく、なんでもそうです。
確かにそうですね。
オープンソースもしくは自社製品のみで構成して、その製品のプロフェッショナルを抱えている場合にはその限りでは無いかもしれませんが、コスト的に見合うかはわかりません。
Re:サポートを受けた経験... (スコア:1)
そこを重視しすぎるのは問題だが、信頼性を評価する情報の一部としてプレゼンした人のスタンスを知ることは悪くないと思うが。
うじゃうじゃ
djb教も盲信しちゃだめ (スコア:2, 参考になる)
Re:djb教も盲信しちゃだめ (スコア:1)
Re:djb教も盲信しちゃだめ (スコア:1)
メイル受信を拒否する方法 [qmail.org]の
てやつのことですか?
>特にqmailはまともにわかって設定していないと、いつでも踏み台にされたりする。
上のパッチでどう踏み台になるのを防げるのか分からんです。
踏み台ということばもセキュリティの話では「ホストを乗っとられて、他所のホスト攻撃への起点に使われる」という意味ですが、SPAMの話なんですか?
と書いてあるから、第三者への中継のことじゃなくて、アドレス偽られた時のためという意味かな。
と、ここまで調べたところで思うところは、セキュリティ・qmail・踏み台などと書かれてるけど、即座に警戒するような内容でもなさそうです > 他の qmail 使いの方々
-- wanna be the biggest dreamer
Re:「盲信することなかれ」が主題なのかな (スコア:1, すばらしい洞察)
このプレゼン見て「Linuxダメじゃん、MSでなきゃ」というユーザは
プレゼン見ても見なくても雑誌の提灯記事で十分洗脳される。(2)
このプレゼン見て「いやそれでもMSはダメダメ、Linuxマンセー」と
いうユーザは固定観念が染み付いているのでプレゼンを見ること自体が
意味なし。(聞く耳持たないってやつね)(3)
結局、このプレゼンが意味をなすユーザ層はプレゼンを見る必要も
ない(1)のタイプだったりして。あ、でも(1)のタイプに対して
「MSもだいぶ取り組んでいるな」と思わせることができれば、
それでも十分役割を果たしているのかな。
問題なのは、業務で決済権を持つ人間に(2)が多い、ということかな。
できる技術者は(1)のタイプのはずだから、決済権を持つ人間をどう
説得して適材適所なシステムを作り上げるかが腕を問われるところだね。
(2)や(3)のタイプで技術者を名乗ってる奴は似非だ。それは単なる
マニアかオタク。昨今の技術者に求められてるのは幅広い情報収集能力と
的確な判断力、相手を説得するコミュニケーション能力だから。
あれ、論点がずれてきちゃったな(^^;
Re:「盲信することなかれ」が主題なのかな (スコア:1)
マスコミ全体で見てみると、典型的なマッチポンプです。
落ちつくところはごく常識的な判断力というところなので、いちいち相手にすることはないです。
-- wanna be the biggest dreamer
Re:「盲信することなかれ」が主題なのかな (スコア:1)
-- wanna be the biggest dreamer
Re:「盲信することなかれ」が主題なのかな (スコア:1)
今回の場合は、言論の場としての機能はほとんどなく、単なる売文業としてしか機能してないでしょう。
オープンソースなら安全、だと本気で主張してたメディアがどこにありました?
騙されてた人はまま見受けられましたが。
-- wanna be the biggest dreamer
このアドレス (スコア:2, 参考になる)
M$のページってタグ忘れとか粗悪HTMLテクノロジー使い過ぎ。
こういうので独占って困るんだけど…
Re:このアドレス (スコア:2, おもしろおかしい)
Re:このアドレス (スコア:1)
いったいぜんたいなにやってんだってくらい重いアプリケーションですが、最近けっこうあちこちで見かけます。
Re:このアドレス (スコア:0)
- ただしIE専用
- なお、視聴には、なにやらActiveXコントロールのインストールが必要なようだ。
これで見られませんか?別にMSに限らず、大半のサイトはロクなHTML書いてないと思うけど。Re:このアドレス (スコア:3, 参考になる)
しかも、途中でスクリプトエラーが2つも出るし。
いくらなんでも、自社のブラウザで見れないようなHTMLやらスクリプト書くのも何かと…
/* Kachou Utumi
I'm Not Rich... */
Re:このアドレス (スコア:1)
ってことなんですが、嫌がってませんがWindows
持ってないんです。
冗談抜きで、初めて買ったPC-6001mkII以来、Windowsパソコンって持ってないんです。(いまはMacOSXからアクセスしてます)
Re:このアドレス (スコア:1, すばらしい洞察)
Re:このアドレス (スコア:1)
そもそも近くにWindowsマシンがあるだろう、という決めつけがおかしい。これを別のOSに置き換えてみたら、例えばWindowsではなくて「お近くのFreeBSDマシンでお試しを」、などと言われたらどう思うだろう?
Re:このアドレス (スコア:1, すばらしい洞察)
っていうのは多分、大部分の人について妥当な推論だとは思うんだけど、
たとえば、やっと頼み込んで使わせてもらえることになったWindowsマシンがあったとしても、
どんなことが起こるかも分からないのに
ActiveX拾ってきて一時的にせよインストールして動かしたりはできないと思うよ。
俺が貸す側だったら絶対にOK出さないし、借りる側でも遠慮する。
セキュリティーの話 (スコア:2, すばらしい洞察)
> ●なお、視聴には、なにやらActiveXコントロールのインストールが必要なようだ。
話の中でセキュリティーベンダーのシマンテック等
アクティブスクリプトを使っているのは何だがって事を言っているが
このスライドは過度に使い過ぎているのはもっとアレゲだと思うのですが
何か間違っているでしょうか?
M$が勝手に作ったと言えばそれまでかも知れませんが
ま、何日持つかでしょうね。消えたら書き込みお願いします。
MacIEだと ActiveXの使用を選択しても見れませんね。
死んでもフラッシュなんて使わないだろうし‥
WindowsとLinuxのWebサービスの話でLinux側から見れないってのは
欠席裁判と同じで不公平な意見と感じますが‥
これM$のページではなく Japan Windows NT Users Group [jwxpug.or.jp]側のサイトに置くべき内容では?
#全部見ました…何か違う印象
大切なのは (スコア:2, すばらしい洞察)
自分で確認すること
視野を広く持つこと
公平に考えること
穿った見方をしないこと
世論に流されないこと
> MacIEだと ActiveXの使用を選択しても見れませんね。
> 死んでもフラッシュなんて使わないだろうし‥
というわけで、こちらをどうぞ!
http://www.microsoft.com/games/home/
これ他のブラウザで見れたら速攻で消滅すると思うので (スコア:2, すばらしい洞察)
他の細かいバグは詳しく言うが自分の所があまり言わない。
自分の所はやりたい放題って事ですが。
M$にかなり気を使った言い回しですね、M$のページだしね。
これ普通のムービーとスライドのリンクで可能だと思うのですが
WindowsIE側でしか見れない構造はかなり閉鎖的ですね。
叩かれるとこのアドレスも断わり無しに消えるのではないかと
見れないなら他のブラウザ宛にコメントくらい書くべきでは?
他のブラウザだと?・しかでませんし配慮が足りな過ぎ。MacIEでも不可ですから
これ話の中でNTは捨てましょうなんて言ってますが
この グループ [jwntug.or.jp]ってJapan Windows NT Users Group
の略称ですから早くも名称変更ですかね?
NTが消えて…JWUG
ジャパン・Windows・アングラ・グループになるのかと(違)
Re:これ他のブラウザで見れたら速攻で消滅すると思う (スコア:1)
でもそういういう環境を選んだということにも責任はあるでしょう。MSがそれを強制したというのなら話は別ですが。
Re:これ他のブラウザで見れたら速攻で消滅すると思う (スコア:1)
>
>でもそういういう環境を選んだということにも責任はあるでしょう。
>MSがそれを強制したというのなら話は別ですが。
特殊な機能を使っているわけでもないので別にPowerPointで作成したこと自体には問題はないでしょう。
スライド作成者はそのスライドの内容をMSのサイトで公開することに同意しただけで、まさかIEでしか閲覧できない形態で公開するとは思っていなかったと思いますが。
うじゃうじゃ
Re:これ他のブラウザで見られたら速攻で消滅すると思 (スコア:1)
スライドはPowerPointで作ったようだが、それを各スライド(単なる画像)と「前へ」「後ろへ」等のリンクからなるWebページ群というのを見たことがあります。こういう変換なら画像が表示できるブラウザなら見られるはずで、わざわざIE専用にしなくてもよいはずなのですが、最近のPowerPointではこういう風にするのが簡単にできないようになっているのでしょうか。
もしかして文字がアニメーションして出てくるというような効果まで再現しようとしているのでしょうか。だとしてもそれでIE限定(さらにWindows限定)になってしまうのは(MSにとっては都合がいいのだろうが)あまりに大きな代償です。
Re:これ他のブラウザで見れたら速攻で消滅すると思う (スコア:1)
個人的には、PowerPoint により楽になるような効果を多用したプレゼンで、内容のある比率はかなり低い、というのが実感です。内容があるプレゼンは、たいがい、簡潔な文章表現と適切な絵だけ(たまに実写のビデオ再生)のことが多い。つまり代替ソフト(MagicPoint など)で用が足りてしまう。
それと、実作業を Linux で行い、論文や原稿も Latex で書いてるので、プレゼン資料を PowerPoint というのは、データの共有がほとんどできず、選択肢にもならない。
NATだから?再生できず。 (スコア:1)
項目中の、「IISは確かにアレゲだが…」というのにちょっと笑った(笑)
Re:NATだから?再生できず。 (スコア:1)
# ま、生で見たので今更だよね?
しかし
>「IISは確かにアレゲだが…」
全般に、話半分に聞かせていただきました。
一言感想として
A-0:SUSが目玉でしたね
A-1:印刷されたPPTは意味不明でした
A-2:非公開・・・ですよね
A-3:「うそだー」想定被害%多すぎ!
A-4:無理やり落としどころを探ってるようでした
試されてたんですかね?
-- どう思いますか?
Re:NATだから?再生できず。 (スコア:0)
NAT越しだけど見れたけど...?
Mozillaじゃだめだけど、IEだといけるみたいではあるけどね。
Re:NATだから?再生できず。 (スコア:1)
んー。ルータ側で何か設定が必要なのだろうか…。といっても、現在Windows2000 + ZoneAlarmなマシンがルータになってるのでどこがいじ れるのかわからない罠^^;
ようやくまともになってきたってこと? (スコア:1)
まだおかしい点はあるものの、これだけのシェアをもった巨大ソフトメーカなんだから、それ相当の対応が出来るようになってきたということかな。
中で、大きなシェアがあるのでパッチ作成もテストも難しいだろうと、フォローされていましたが、だからこそ、Microsoftの分割 [impress.co.jp]みたいな案も有用だなぁと思った次第。
認識変わらず (スコア:1, 興味深い)
Win2k(SP3)+IE6でFreeBSDルータ越しで見ましたが、ちゃんと見れましたよ。
とりあえず鵜呑みにしながら見てみたのですが、結局はユーザー次第であるよということが言いたいのかなと感じました。
MSの対応も良くはなって来てるのだという事も理解はできましたね。
で、鵜呑みにした結果ですが、
・MS製品はデフォルト設定が危険過ぎる
・IEのセキュリティホールは酷すぎる
・改善されつつはある
ということであまり認識が変わったわけではありませんでした。
LinuxやUNIXの話も、そっちにセキュリティホールが無いわけじゃ無いぞと言ってるだけで、至極当り前の事ですよね。
でも、確かにMSなら安心とかオープンソースなら大丈夫とか、盲目的に信じる人というのは多いわけで、そういう人への批判としては非常に的を得てると感じました。
「多数の目があるから安心だなどと言う前に、自分でソース読め!」という言葉は耳が痛いです^^;;;
Re:認識変わらず (スコア:1)
私もその口です。確かに、数字の解釈や論理展開に疑問はあります。また NT ユーザ会に所属しているなら Windows に好意的なプレゼンテーションをするのも当然ですから、割り引いて考えなきゃいけないでしょう。そう考えると、「真相」部分に関しては、そんなに突飛なことを言っているようには思えませんでした。
比較として「Windows と Linux のセキュリティ」と言っている割には、Windows と Linux の比較はサーバー利用での比較しかしてませんよね。クライアント側の視点では、IE vs Netscape & Operaという対比になってます。指摘されていた Operaの「どんなローカルファイルも読める」脆弱性って、Linux + Opera でも発生するのかしら?(root権限が必要なファイルでも読める?)詳しい人のフォロー期待。
また、ディスクレス X-Window端末みたいに「いじっているコンピュータは向こうにある」ようなシステムと、クライアントにWindowsを使って「いじっているコンピュータはこっち側にある」ようなシステムとの比較をして、どちらが 満足度/運用コスト や 安全度/運用コスト が高いかってのは結構重要なポイントだと思うので、そこに全然言及していないのは、がっかりしました。まあ、クライアント側をどうこう言う場所じゃなかったのかも知れませんけど。
また、Netscape 6.1~6.2.2 はともかく、mozilla 0.9.7~1.0RC1 で「ローカルファイル漏洩 」があったから安心じゃないとか言われてもなぁ。GMまでってそういうbugがあるよってのは、ある意味前提なんだから、そんな風に言われても困ってしまします。Mozilla GMが発表に間に合わなかったのかな。(笑)
vyama 「バグ取れワンワン」
プレゼン資料でてた (スコア:1, 参考になる)
Re:プレゼン資料でてた (スコア:1)
多いです.Windowsがどうしようもないとかいいながら,他のOSで
代替できる用途にWindowsを選択する人も多いです.右クリックを
覚えてスーパーハカーになったつもりのボケも多いです.Windows
が適切な選択肢でないのを知りながら周囲の圧力で選択せざるを
得ない人も多いです.Windowsが適切な選択肢でないのを知りなが
ら利益最優先で選択させる人も多いです.
Windowsを選択した理由は沢山あるので妄信とクラックの件数は
関係ないと思われます.
CDも配布されてませんか? (スコア:1)
2週間ぐらい前だと思いますが、このセミナーのCDが送られて
きましたよ。
参加者というか、申し込みをした人に配っているんでしょうかね。
#申し込みはしたけど行けなかった。
Web経由で見ると、重そうだからCDで見ていました。
中身そっちのけで、プレゼンの映像とPowerPointのデータがリンクして表示されているのを見て「かっちょえー!」って叫んでいたオレ(^^;
雀卓かなんか知らんけど (スコア:0)
最初の部分で単純に件数比較してLinuxだから1件とかじゃない、
むしろWinと同件数だ、しかし、圧倒的にインターネットサーバとしての件数が違うのでムニャムニャって部分で下顎がキーボードに叩き付けられるかと思うくらい口が開きっぱなしになった、%で比較せんと意味ないだろ!!とか突っ込んでみた。(笑)
途中で眠りそうになりつつも、オプソがクローズな世界より安全だって噂は嘘だって話があったように思ったのですが、ソースが見れるのは良いことだとしながらも、ソースも見れない環境がなぜ良いと言い切れるのか意味不明だし、途中までの解説と結論が一致していないような気がしたのですが??これは誉め殺しの一種ってこと?それともギャグ?
まぁ、雀卓かなんかの団体とは無関係だって彼も語ってたし、団体全体がこんな房ばかりじゃねーんだろうと思ってやるよ。
スライドのみversion希望 (スコア:1)
構成から見れば、その部分は「つかみ」でしょうかね。そこを取り替えても結論に影響はないですし。
MS主催、客席にはベンダ関係者がごろごろであれば、言いたいことを聞いてもらうための下地作りは他のプレゼン以上に重要でしょう。
成功してるんじゃないですかね、多分。客席が静かで画面からはよく分かりませんが。
寧ろ私が気になったのは、タイトル及び語彙「アレゲ」の多発。
# 及び、気にしてはいけないのは分かっているがActiveXコントロール。
Re:雀卓かなんか知らんけど (スコア:1)
スラドなんかでは「オープンソースだと世界中の人がソースを見てチェックしているから安全」というけど個人的には疑問に思う。いったいどれだけの数の人がコードをチェックして
御意。恥ずかしながら、ソースのチェックなんてしておりません。ただ、セキュリティの情報はM$よりも早い(気がする)ので、重宝しておりますが(W
コメント元のACの意見と趣旨は同じですが、いざというとき、ソースとチェックして、そのソースを自分で(チェック&)コンパイルして実行できるところがオープンソースの魅力だと、思いますが。
#ACにしたいけど、忙しいからしない
---------+---------+----------+
年をとるのは素敵なことです。
Re:雀卓かなんか知らんけど (スコア:1)
どっちゃにしろ「本当に機能してるのか?」という疑問が投げられただけなのであって、「多くの目で監視してもダメぢゃん」という事では無いのだからさ。
Re:雀卓かなんか知らんけど (スコア:1)
> 「ソースを見られない環境が良い」とは言ってなかった
> ような。スラドなんかでは「オープンソースだと世界中
> の人がソースを見てチェックしているから安全」という
> けど個人的には疑問に思う。いったいどれだけの数の人
> がコードをチェックしてセキュリティホールを探して
> いるのだろうか。オープンソースのよいところは、自分
> の目で安全かどうか判断でき、自分で脆弱性を修正できる
> ところだ、と言ってたような気がします。
大筋で同意。
でも、あえて違う視点で物を言ってみる。
もし MS が今ソースを公開したとしたら...
ユーザ数もけた違いに多い Windows だけに、悪さをたくらむ 奴や、MS を落とし入れようとするやつなんかワンサと出てくる と思う。
最初は大きな混乱を招くかもしれないが、それは結果として 「オープンソースであるからこそ安全である」という結論に 繋がるかもしれない。
全てのオープンソース≠安全
ではあるが公開されているソフトの
悪用した場合の相手に与えるダメージの高さ
落とし入れたいユーザがそのソフトを利用しているか
悪の権化、○○がこのソフトを作成している等
(以上思いつく範囲のみ)
等によって、もまれ方も変わってくるので、安全性の度合いは 変わってくる。
しかし、個人的な結論としては、オープンソースは安全への 近道であると感じる。
結局 Linux はまだそこまでの域に達していないということか.
Re:閲覧のために (スコア:2, おもしろおかしい)