アカウント名:
パスワード:
バージョンを公開するかどうかは「攻撃者の心理」との戦いなのですから、 パッチが本当に適用されているかどうかについて語る必要はありませんよね?
パッチが適用されているなら、心理とやらについて語る必要すらないよ。
そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
特定バージョンの穴のパッチが全て公開されているとは限らないし、穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
そういうケースを想定するならバージョンを隠しても無駄。
バージョン公開によって、 "攻撃者に穴のある可能性の推定"をしやすくはすると思う。
そう感じるのはあなたの技術力が低いから。ゼロデイアタックができるような技術力の者はそうは思わない。
サーバー名、バージョン名が見えていれば"過去にあった穴”の情報はわかる。 塞いでいるかいないかはその時点で攻撃者はわからない。
ww。いやだから、あのさ、技術力の高い者(ゼロデイできる人とかね)にはそんなのわかるんだって。あんたがわからないってだけ。己の無知を理解しなさいよ。
"自動化された攻撃しか来ないのか”と言うとスクリプトキディみたいなのもいるわけで。 で"自動化攻撃に対して差が無い”、”手動攻撃に対しては隠蔽は”何らかの効果がある”” んであれば隠蔽するべきでしょう。
で、さて、脆弱性公開されてパッチの出てない穴なんて短期的には幾らでもあるわけで。 あるバージョンにあって、新バージョンには無い脆弱性。新バージョンにあって旧バージョンにない脆弱性。幾らでもあるわな。
最近はそうでもないなあ。Apache 1.3.x なんかはもう十分に枯れたコードで、脆弱性が見つかるのはたいてい mod_なんとかにで、それを使ってないところはアップデートする必要がないから、若干古めのバージョン使ってることを Server: で晒してても何ら問題ないし。
「短期的」な状況として、パッチ未リリースの脆弱性が公表されたときについて言えば、 スクリプトキディ
IISの不具合で上記になったときに、わざわざ、"IISです"って教えるのと、apacheかIISか解らない状態と本当に一緒?
同じですよ。
"正規ユーザーが必要としない余計な情報は与えない" ってのが全ての基本じゃないの?
ぜんぜん基本じゃない。馬鹿の一つ覚え。自分の頭で考えなきゃだめだよ。
パッチはきちんと当たってるという前提で、その上で「バージョンを公開/非公開」の論議をすべきでは?
論点が「バージョンの公開/非公開」のはずなのに、「パッチの適用/非適用」とすりかえられてませんか?論点がずれてボケることで、無用な議論にエネルギー費やしてませんか?
現実社会で種々の理由によって「バージョンの公開/非公開」が「パッチの適用/非適用」と切っても切れない関係にあるとの証拠かもしれない。理屈で考えたら無関係だが、調査して「パッチをすぐに適用できないからバージョン非公開」って考えで運用してるところが多ければ、そういう社会を無視して議論してもしかたないもの。きれいに理屈で割り切れる議論をしても結果的に「無用な議論にエネルギー費やし」てしまったこともあ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
偏屈な回答ですが (スコア:5, 興味深い)
#ちなみに私は概ね隠します。理由は、なんとなく (笑
Re:偏屈な回答ですが (スコア:1, 興味深い)
一応これはセキュリティ的に良い悪いの話なので…。
バージョン情報みたいに実際には毒にも薬にもならないものであれば好みやポリシーでも構わないんですが、
例えば「脆弱性のあるバージョンのapacheを放置するかどうか」を好みやポリシーだといわれるとちょっと困ります。
今回の話はどちらかというと「バージョン情報を隠すのがセキュリティ確保に有効」と言う話に対して、
「おいおいちょっとまてよ、隠すのは構わんけど隠しても大した効果はないぞ」と言うコメントがついているんでしょう。
Re:偏屈な回答ですが (スコア:0)
こんな基本的なこともやっていないサイトと思われるよ。
投稿者: Anonymous | 2007年08月28日 23:26
>こんな基本的なこともやっていないサイトと思われるよ。
とんでもない。バージョンは隠さないのがセキュリティ業界の常識です。
バージョンを隠していると、脆弱性パッチをあててないと思われてむしろexploitをつっこまれる。
投稿者: Anonymous | 2007年08月29日 23:04
----
このように、バージョン開示派には「バージョンを隠匿するとセキュリティが低下する」という
ご意見もあるようで、なかなか賛否両論のようです。
Re:偏屈な回答ですが (スコア:4, すばらしい洞察)
どこにぶら下げようか迷ったんですが、とりあえずここで。
他にも同じような発言があったのですが、どうも「バージョン隠蔽=パッチ未適用」が規定路線として語られてる感があります。
パッチ未適用ならバージョンを隠蔽しようが公開しようが攻撃者から見て事実上何の差異も無いのであれば、
パッチはきちんと当たってるという前提で、その上で「バージョンを公開/非公開」の論議をすべきでは?
どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
# 私は公開した方がいいと思います。バージョン情報を参照するのは別に攻撃者だけってわけでも無いでしょうから。
# 逆に言うと他に利用されない情報ならわざわざ公開する必要は無いでしょう。無駄というものです。
Re:偏屈な回答ですが (スコア:0)
サーバーにパッチが当たっていなければセキュリティが低いのは当たり前です。
バージョンを公開するかどうかは「攻撃者の心理」との戦いなのですから、
パッチが本当に適用されているかどうかについて語る必要はありませんよね?
攻撃者にとって「バージョン隠蔽=パッチ未適用」が規定路線かどうか、については
そういう攻撃者がいることは事実だと思います。
そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
>どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
少なくともこのツリーと引用されたコメントにはいないようですね。
Re:偏屈な回答ですが (スコア:0)
Re:偏屈な回答ですが (スコア:0)
パッチが適用されているなら、心理とやらについて語る必要すらないよ。
べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
Re:偏屈な回答ですが (スコア:0)
>パッチが適用されているなら、心理とやらについて語る必要すらないよ。
私もパッチが適用されていればバージョンが公開されているかどうかは
実質的なセキュリティ強度には関係無いと思います。
ただ必要だという意見が「ウノウラボ」「@IT」に出されたことで
必要/不要の両面から語りたい人も出てきたのでしょう。
/.でも必要だという人が結構いるようですし。
(その根拠は「管理者の心理」または「セキュリティコンサルの心理」などのように見えますが)
>>そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
>べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
これも「管理者の心理」の問題ですよね。
私も個人的にはこういった心理に共感を感じないので「そういう人もいるようだ」としかコメントできません。
Re:偏屈な回答ですが (スコア:1, すばらしい洞察)
>私もパッチが適用されていればバージョンが公開されているかどうかは
実質的なセキュリティ強度には関係無いと思います。
そうかな?特定バージョンの穴のパッチが全て公開されているとは限らないし、
穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
確かに"ふさいでいる・いない”という意味では強度は同じだが、バージョン公開によって、
"攻撃者に穴のある可能性の推定"をしやすくはすると思う。
公開派の"バージョン公開していないと穴を塞いでないと思われるから公開する。"
ってのも本末転倒。”思われても良いじゃない。”
バージョン隠しても、隠さなくても、パッチを当てるのは当たり前。お
パッチ当ててないと攻撃者に思われたって、当ててあればいい話しでしょ。
もっとセキュリティの、もっと基本に戻ると"その正規ユーザーに公開すべき情報(利用する情報) 以外は全て隠蔽する”
のが基本の基本だと思うんだけどなぁ。さてアプリのユーザーってサーバーのバージョンって使う?
って事で”隠蔽するべき"に一票。
Re:偏屈な回答ですが (スコア:0)
そういうケースを想定するならバージョンを隠しても無駄。
そう感じるのはあなたの技術力が低いから。ゼロデイアタックができるような技術力の者はそうは思わない。
Re:偏屈な回答ですが (スコア:0)
詭弁もいいところだなぁ。
>バージョン公開によって、 "攻撃者に穴のある可能性の推定"をしやすくはすると思う。
これは”ゼロデイアタック"だけを対象にした話じゃないでしょ。
サーバー名、バージョン名が見えていれば"過去にあった穴”の情報はわかる。
塞いでいるかいないかはその時点で攻撃者はわからない。ただ”穴がある場所の推定はしやすい”って話。
>特定バージョンの穴のパッチが全て公開されているとは限らないし、穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
>そういうケースを想定するならバージョンを隠しても無駄。
これも嘘。iisの6に会って5にない穴もあるし、iisにあってapacheに無い穴もある。
全てにパッチが公開されてから穴の情報が出るかというとそうとも限らない。
修正パッチが公開されない(されるのが遅い)不具合なんて山とありますが?
Re:偏屈な回答ですが (スコア:0)
私は攻撃者の手動による攻撃ではなく自動化された攻撃を想定しています。
そして、実際に公開/非公開に関わらず穴のあいたバージョンを使用している場合、
バージョン判定ロジックつきプログラムを使用する攻撃を受けるのリスクと
無差別攻撃を受けるリスクに有為差は無いのではないかと。
もちろん穴の無いバージョン使用の場合は全く差がありませんし。
という訳で"隠蔽する意味は無い"に一票です。
仰る通りユーザーに必要な情報ではないので"公開すべき"とは言いませんが。
Re:偏屈な回答ですが (スコア:0)
ww。いやだから、あのさ、技術力の高い者(ゼロデイできる人とかね)にはそんなのわかるんだって。あんたがわからないってだけ。己の無知を理解しなさいよ。
Re:偏屈な回答ですが (スコア:0)
>攻撃者の手動による攻撃ではなく自動化された攻撃を想定しています。
これが不味いんじゃないかなぁ?
おっしゃるとおり、ワームやボットなどの”自動化された攻撃”に対しては
差がないと思われます。
じゃ、"自動化された攻撃しか来ないのか”と言うとスクリプトキディみたいなのもいるわけで。
セキュリティ的にどちらが正しいかという判断にかんしては
自動化攻撃・手動攻撃双方を想定した上で、判断しなければならないと思います。
で"自動化攻撃に対して差が無い”、”手動攻撃に対しては隠蔽は”何らかの効果がある””
んであれば隠蔽するべきでしょう。
隠蔽しない(公開する)ことによって、"パッチを当ててないと思われる(当ててあればいい話しだから、隠蔽と無関係)"以外の
実害(セキュリティ懸念)がある場合のみ公開するべきだと思います。
で無いならば、”余計な情報は与えない”基本に従うべきでしょう。
Re:偏屈な回答ですが (スコア:1)
また、馬鹿な想定だと思いますが?
”技術の高い人にわかるからって、技術の低い人にまで、わざわざ
穴の情報の検索キー渡す必要ないでしょ”
>>バージョン公開によって、 "攻撃者に穴のある可能性の推定"をしやすくはすると思う。
>これは”ゼロデイアタック"だけを対象にした話じゃないでしょ。
だからわざわざ””ゼロデイアタック"だけを対象にした話じゃないでしょ。”
って書いてあるんだと思う。
ゼロデイも、過去の穴も(パッチ適用済みだとしても)想定して運用するのが
正しい運用でしょうに。
Re:偏屈な回答ですが (スコア:0)
Re:偏屈な回答ですが (スコア:0)
”技術の高い人に対して無駄だから、幼稚園にもわかる穴の情報をわざわざ公開するのかね”
攻撃者の技術にも高いの低いの色々いる。
高いのに対して無駄だからノーガード??アホか。
"隠蔽することによってセキュリティリスクが上がる(穴が増える・穴を推定される可能性が増える)"のか?
"公開することによっては、間違いなく"自分で穴を見つけるゼロデイを出来る人間以外にも”穴を推定する情報を与える”
パッチ公開されてない穴とかね。
さてどっちがましな運用かね。
Re:偏屈な回答ですが (スコア:0)
確かにそうですね。
"大した手間でもないし隠蔽しても良いと思う"に一票ですかね。
元記事のように定量的な分析も無く「セキュリティ向上」と断言されると
どうしても賛同できないのですが、ご意見にはほぼ同意です。
# ある2本のネット記事に関する感想、というだけで大した話題でもないと思うのですが、
# やたらと攻撃的なコメントがついてるのはなぜでしょうね?(#1213884さんのことではないですが)
Re:偏屈な回答ですが (スコア:0)
そのうち、バージョンを隠していないと脆弱性と扱われるようになるのが嫌だからじゃないですかね。IPAに通報する輩が出てくるとか。そいうのは私も勘弁願いたい。
Re:偏屈な回答ですが (スコア:0)
脆弱性塞いでるからノーガードじゃない。ノーガードの人がバージョンを隠す。
>幼稚園にもわかる穴の情報をわざわざ公開するのかね
幼稚園児にわかるような穴がある時点で終わってるよ。
Re:偏屈な回答ですが(オフトピ) (スコア:0)
そういう可能性が現時点であることはあるかもしれないが、
/.で賛成意見の人を嘲るようなコメントを書くことで何か結果が変わるとは思えない。
マイクロソフトやソニーや著名人を攻撃するのはともかく(度が過ぎると見苦しいが)
同じコミュニティの参加者を攻撃するコメントはフレーム以外の何も生まないと思う。
他人の知識不足を指摘するコメントを何個も書く間に実機による検証でもしてくれればいいのに。
Re:偏屈な回答ですが (スコア:0)
なんで、わざわざこれを無視するのかね。
>脆弱性塞いでるからノーガードじゃない。ノーガードの人がバージョンを隠す。
これも単なる言いがかり。
公開してようがしてなかろうが、パッチは全て当て、いらんポートは全部塞ぎ、その上で。(正しい運用は前提で)
公開・隠蔽したほうどちらが攻撃を受けるのか、受けないのか。
公開・隠蔽したほう攻撃に対して強いのか、弱いのかの話だろ。
で、さて、脆弱性公開されてパッチの出てない穴なんて短期的には幾らでもあるわけで。
その中で、apachにあってiisにない脆弱性、iisにあってapacheにない脆弱性。
あるバージョ
Re:偏屈な回答ですが (スコア:0)
>なんで、わざわざこれを無視するのかね。
ゼロデイは幼稚園児には突けないからでは?
Re:偏屈な回答ですが (スコア:0)
最近はそうでもないなあ。Apache 1.3.x なんかはもう十分に枯れたコードで、脆弱性が見つかるのはたいてい mod_なんとかにで、それを使ってないところはアップデートする必要がないから、若干古めのバージョン使ってることを Server: で晒してても何ら問題ないし。
「短期的」な状況として、パッチ未リリースの脆弱性が公表されたときについて言えば、
スクリプトキディ
Re:偏屈な回答ですが (スコア:0)
とか
>隠してるとパッチ当てなくなる
とか”思い込みで言っている”、”隠さないのが常識派”の人がコメント中に一杯見受けられますが?
Re:偏屈な回答ですが (スコア:0)
べつに「隠さないのが常識」と言っているわけではないのでは?
「隠すのが常識」派の人の根拠が、「隠すことのデメリットが皆無だから」としか言わないから、いくらかのデメリットがあるという反論をしているだけでしょう。
論理的思考に慣れない人には難しいのかもしれませんが、「Aが常識」という主張に対する反駁には反例を挙げるだけで十分で、それは必ずしも「¬Aが常識」の主張を意味するものではないのです。
Re:偏屈な回答ですが (スコア:0)
報道とかで既に大騒ぎになっているでしょうから、そういうときはどのみち特別対応するときだし、どうせ全ユーザ横並びで未パッチなのは明らかなんだから、バージョン隠してても同じことですし、
例えば、
IISの不具合で上記になったときに、わざわざ、"IISです"って教えるのと、apacheかIISか解らない状態と本当に一緒?
"正規ユーザーが必要としない余計な情報は与えない"
ってのが全ての基本じゃないの?
Re:偏屈な回答ですが (スコア:0)
同じですよ。
ぜんぜん基本じゃない。馬鹿の一つ覚え。自分の頭で考えなきゃだめだよ。
Re:偏屈な回答ですが (スコア:0)
"穴のあるIISです”って教えるのと
"IISかAPACHE"か解りません
ってのが同じわけ無いだろW
普通は”穴があるのがわかってる”所狙うわな。
Re:偏屈な回答ですが (スコア:0)
>ってのが同じわけ無いだろW
どうしてそんなにバカなの?
>普通は”穴があるのがわかってる”所狙うわな。
シェアが、IIS: 45%, Apache:45% だったら、おおむね半分の確率で当たりだから、いちいちバナーを調べるわけもなし。
Re:偏屈な回答ですが (スコア:0)
”自分の都合のいい脳内設定”で無理やり正当化するのかね。
半分所か。
http://itpro.nikkeibp.co.jp/article/NEWS/20070808/279397/ [nikkeibp.co.jp]
ほぼapache6割強、iis3割強。さて君の理由は完全に否定されたわけだが?
IISに絞って攻撃するつもりなら間違いなくバナー調べたほうが早いね。
Re:偏屈な回答ですが (スコア:0)
ゆとり世代は2つまでしか数えられないのかね。
Re:偏屈な回答ですが (スコア:0)
↑大嘘でのいいわけ。
大嘘を指定されたら↓
>2回やるのも3回やるのもおんなじなんだが。
ですか。すでにあなたの言ってる事は1行目で”自分の思い込みの脳内設定”って証明されてるのに。
どっちが攻撃しやすいか(危険か)って話なのに。
見苦しいね。
反論するなら、サーバーシェアのように
"きちんとしたソースで論理的に反論してね。でないと所詮ただのまけおしみだよ♪。"
Re:偏屈な回答ですが (スコア:0)
現実社会はいろんな前提条件が入り混じって、そのままじゃ議論にならない。でも、きれいに議論しようと論点を整理しすぎると、議論の結果はきれい過ぎて現実社会に適用できなくなる。
細かく前提を絞っちゃうと、そこで議論されない点が多く残るので議論の意義が薄れますね。なにごともバランスが大事よ。
Re:偏屈な回答ですが (スコア:1)
論点がずれてボケることで、無用な議論にエネルギー費やしてませんか?
という話なんですが、おわかりいただけないようですね.
# まぁ、前にも書いてるようにある意味どうでもいいことですが.
# 必要なら公開すればいいし、不要なら公開しなければいいだけのことでしょう?
# あなたはいったいどうしたいんですか?って、ACに訊いても無駄ですね.
Re:偏屈な回答ですが (スコア:0, 荒らし)
現実社会で種々の理由によって「バージョンの公開/非公開」が「パッチの適用/非適用」と切っても切れない関係にあるとの証拠かもしれない。理屈で考えたら無関係だが、調査して「パッチをすぐに適用できないからバージョン非公開」って考えで運用してるところが多ければ、そういう社会を無視して議論してもしかたないもの。きれいに理屈で割り切れる議論をしても結果的に「無用な議論にエネルギー費やし」てしまったこともあ
Re:偏屈な回答ですが (スコア:0)
論点がバージョンの公開/非公開であれば、パッチ適用の場合と非適用の場合を切り分けて議論すれば良いだけ。
その中で個別の事例は出てくるだろうけど。
明らかに論旨を理解してないまま、反射的に返されてると思いこんでるでしょ
Re:偏屈な回答ですが (スコア:0)
論旨を理解していないのは君だよ。
「論点のすり替え」だの、「明らかに○○」だの言う前に、少しは論理的に意見を述べようよ。
Re:偏屈な回答ですが (スコア:0)
Re:偏屈な回答ですが (スコア:0)
こういう前提条件を善しとするIT業界ってなんなんでしょうね。
Re:偏屈な回答ですが (スコア:0)
> こういう前提条件を善しとするIT業界ってなんなんでしょうね。
意味不明。もしもIT業界の現実がそうであるならその条件を受け入れなければならない。ある人間が勝手に「善しとする」とか「善しとしない」と決められる問題ではない。
もっとも、現実問題としてIT業界に限らず実社会ってそんなもんだよ。それを書いた当の本人ですが、IT業界なんて念頭になく親コメントの彼があまりにも現実離れした仮定を持ちだしたことだけを念頭において書いたからね。