ソフトウェア脆弱性トップ20 2003年版 28
ストーリー by yourCat
並べてみるとうんざり 部門より
並べてみるとうんざり 部門より
ccd曰く、"ZDNetの記事より。セキュリティ団体のSysAdmin Audit Network Security Institute (SANS) が、最も攻撃を受けやすいソフトウェアのランキング『Top 20 Vulnerabilities』の2003年版を発表した。それによると、WindowsにおいてはWWWサーバーのInternet Information Services (IIS) が、UNIXにおいてはDNSサーバのBINDが最も脆弱性の高いソフトウェアであるそうだ。"
それぞれ理由も述べられているので、問題点をおさらいするのに都合がよい。
IISって (スコア:3, すばらしい洞察)
ところに問題があると思うんですけどねぇ。
場数を踏んでIISに慣れてないと、何か設定忘れをやらかしてしまい
後々の問題の種になってしまうというか。
Re:IISって (スコア:2, 興味深い)
結局「hogeをクリックしてfugaを選択」という情報に従うだけなので、項目名はもはや入力欄の位置情報でしかなく、無関係な記号と大差ないので、GUIである意味が殆どないと思うんですよね。本来CUIが向いている事を、無理矢理GUIにしただけって感じがします。
日本語版が変な訳になっているだけ?
Re:IISって (スコア:0)
ようにすればもっと使いやすくなるのに。
…と思ったんだけど、
・どうせフォルダのセキュリティ設定をしなくてはいけない
・きっとテキストファイルでも設定でき
Re:IISって (スコア:0)
IISの大問題 (スコア:2, 参考になる)
突破されたら、OSの保護機能が無い状態になってしまいますな。
同じことは、SQL Server にも言えるのだけど。
Re:IISって (スコア:1)
>ところに問題があると思うんですけどねぇ。
>
>場数を踏んでIISに慣れてないと、何か設定忘れをやらかしてしまい
>後々の問題の種になってしまうというか。
その点,apacheはどこをどのように設定すればよいか非常に直感的で良いですよね.
場数を踏んで慣れていなくても,設定漏れなんてほとんどないし.
なわけない.
It's not who is right, it's who is left.
Re:IISって (スコア:2, 参考になる)
設定漏れをチェックできますが、メニューやタブ式ですと
すべて舐めて調べるのは大変です。
その意味ではApacheのほうが設定漏れが起き難いって言うこともできるかも:-)
Re:IISって (スコア:0)
実際KnowledgeBaseなんか見ると「regeditを立ち上げ・・・」というのがいっぱい出てくる。
Re:IISって (スコア:0)
#間違って無い...
リンクすべき先は (スコア:1, 参考になる)
コッチ [sans.org]では?
Re:リンクすべき先は (スコア:0)
Re:リンクすべき先は (スコア:0)
Re:リンクすべき先は (スコア:0)
もしかして苦肉の策?
Re:リンクすべき先は (スコア:0)
ランクづけの基準にもよると思うけど、
UNIX が消えるってことはないと思うんだけど。
Secure? (スコア:1, 参考になる)
U10 Open Secure Sockets Layer (SSL)
Secureと冠している物がこういうリストに上がってくるとなんかアレだ。
# 「Secure」が実装じゃなくてアルゴリズムの事だというのは分かるが。
Re:Secure? (スコア:1, 興味深い)
セキュアなシステムほど侵入しがいが――と言ってみるテスト。
Re:Secure? (スコア:1)
逆に、Secureを意識しなくてもよい領域のソフトウェアは、いくらセキュリティに気を使ってなくてもこのランキングにはあがってこないのです。
# 例として ls とかをあげようと思ったんだけど、もし過去に何かあったらはずかしいなぁ。と思って何もかけない私。。
Re:Secure? (スコア:1)
これはls自体の責任じゃありませんが。
[@IT] 攻撃手法の代表格「バックドア」と「トロイの木馬」と「rootkit」を知る [atmarkit.co.jp]
Re:Secure? (スコア:0)
ls secured の略ですか?(ぉ
Re:Secure? (スコア:0)
Re:Secure? (スコア:1)
ぜひ入れておくことをおすすめします。
# おばかなコメントなのにID
高い低い(オフトピ) (スコア:1)
安全性が高い(低い)=脆弱性が低い(高い)
この二つが混在することが問題なんでしょうか。
上記の対比は素人な私のイメージですが
識者の方からすると 脆弱<->堅牢 なんでしょうか?
でも堅牢性とは言わないきがするし・・・(言うのかな?)
アフォーダンス [novas.co.jp]の問題なんだと思いますが
単純に私の認識ミスなのでしょうか。
アフォーダンスとは簡単に言えば
非常口のマーク [nifty.com]は左に向かって出て行こうとしているのに
実は出口が右にあったりしてそっちの方向に別途矢印がふられていたりすると
違和感を感じるっていうやつです
んまぁちょっと思ったことなので無知を承知で長文失礼。
Re:高い低い(オフトピ) (スコア:1)
アホのダンスように、違和感を感じるっていうやつです。
タブレット中毒者。
アフォーダンス? (スコア:0)
アフォーダンスは、意識下の認知、近くの問題であって、言語の問題ではありません。どちらかというと、俗流認識論の問題では?
#「おまえ、アフォーダンスといいたいだけとちゃうんか?」
Re:高い低い(オフトピ) (スコア:0)
Re:高い低い(オフトピ) (スコア:0)
脆弱性が高いソフト? (スコア:1)
BINDがもっともクラックされやすいソフトのような印象を受けますが、
そういうことなんでしょうか?
素人目にはsendmailとかのほうが危なそうな気もするんですが。
私は脆弱<->堅牢云々というよりは
ネットワークに及ぼしたインパクトのランキングなのかなと思いましたが、
どなたかわかる方解説してはいただけないでしょうか?
Re:脆弱性が高いソフト? (スコア:2, 参考になる)
自己フォローです
First PostのAC氏のリンク先に↑のように書いてあるので、
管理者がプログラムのアップデートを怠ったためにクラックされた
件数を数えた結果のランキングぽいですね。
もっとよく読んでから投稿するべきでした。スンマセン