稀にありますが、それは真っ当な状態ではありません。精通さんはその程度のことをしているということです。
@zsceq SSLの要否はサービスの規模の大小ではなく、扱われる情報の内容についてどれだけ機密性、正当性、完全性を確保するべきかによります。教科書的な話で恐縮ですが、「規模が大きくなれば導入すればよい」ものではない、ということをどうかご理解いただければ幸いです。
2013-01-09 21:32:36私の意識が問題じゃなくて、自ら責めて行ってhttpsを過剰に責める正義感が問題なのでは。それを口実に仕掛けたいだけでしょう。それに私もSSL購入してるって言ったでしょうが。購入している奴がセキュリティの意識低いっていうのは矛盾してますね。
2013-01-09 21:36:36購入してるだけで結局使ってるのはオレオレ証明書なのですから、そんな使い方ではセキュリティ意識が高いとは到底言えません。
@zsceq ところでこのスクリーンショットの件でひとつお伺いしたいところがあるのですが、いいでしょうか? (おそらく Ubuntu 10 だと思うのですが)
2013-01-09 21:37:34@ktgohan ご理解しているから反論しているのですよ。向こうは「SSLを導入しないのはセキュリティ意識高くない致命的なIT技術者」という先入観をお持ちのようですし。だから、「お問い合わせなどが必要ないから機密性もほぼなくSSLは現状では要らない」と言っています。
2013-01-09 21:39:43要らないのにわざわざオレオレ証明書でhttps接続できるようにして無用のリスクを増やしているのが問題です。
@ktgohan Welcome to Ubuntu 12.04.1 LTSだそうです。それと、リティ意識の高い奴はセキュリティが頑丈であり、それをしないIT技術者は致命的)という先入観で私を貶めているにすぎません。私は今回機密性もなにもない状態でしたので。
2013-01-09 21:42:31先入観ではなく一般的認識です。サーバー構築の参考書などにも必ず書いてある筈です。
@zsceq であれば mod_ssl を Apache に食わせておく必要もないんじゃないですか? 無駄なコンポーネントをロードしている、という観点で見るとそれはそれであんまりいい話ではありませんので…。
2013-01-09 21:44:43@ktgohan 私はセキュリティに無関心でないし、彼らはSSLを適用しないとIT技術者として貴方は致命的であるという「証拠」をえたいだけです。
2013-01-09 21:45:22機密性が必要ないのならばhttp接続だけにすればいいと申し上げているのに完全に無視されています。
また、無関心とまでは申していません。むしろおかしなセキュリティ意識で半端に設定して余計面倒なことになっていると言っています。
証拠を得たいに違いないだとか攻撃したいに違いないだとか言うのは完全に被害妄想です。
@ktgohan 解除の仕方は知っているので解除しておきます。「私のIT技術がないと批判しているのですから当然その証拠を彼らは欲しいんですよね。私のサイトがメンテナンスで、なんであるかも知らずhttpsだけを仕掛けるのです。私のサイトが機密性があったかどうかはわからないはずです
2013-01-09 21:47:25最初はhttpでページが見られる状態だったはずですが、何故かオレオレ証明書の件が発覚してからhttpでもアクセス不可能な状態に変更しましたね。
見た感じ情報の秘匿性は必要なさそうではありました。勿論それを前提としてお話をしています。
それ以前に、内容如何に関わらずオレオレ証明書をつけてhttpsを開放しておくのは良くありません。
つまり精通さんは最初の方でツイ子さんが提示した以下の記事を読んでいないか、或いは全く理解していないという結論になります。
そういえば、私のサイトはメンテナンスしており、彼らはhttpsを辿った状況で機密性も必要であるかも考えず他人の技術を批判してきたわけですね。そこに何の情報があるかも断言できないままね。
2013-01-09 21:51:39セキュリティ意識セキュリティ意識って、「SSLがおかしいと思った時点」でしかけてくるのであれば、彼らこそ早とちりなのですよ。何故なら彼等は「一度もメンテナンス後の画面を見た事がないはず」です。「その前からメンテナンスにしていた」のですからね。
2013-01-09 22:00:14全く同じことを何度も何度も無意味に言いなおして強弁するのも精通さんの悪い癖です。
VPS接続時の権限について
@zsceq ではこちらの話に移らせてください。これ、見るとssh経由でコンソールに入ったあといきなり apt-get install を実行し、途中まで進行しています。ここまで進行するためにはgid=0のユーザである必要がありますが、それについてはご認識合ってますでしょうか?
2013-01-09 21:47:32@ktgohan 合ってますが、これはわざとですよ。スーパーユーザ権限とか言い出すのでしょうが、時間がなかったし、apt-getでぶっ壊れるような状況ではなかったですし
2013-01-09 21:53:44@zsceq ではもうひとつお尋ねします。sshd_config の PermitRootLogin 、 PasswordAuthentication の各ディレクティブは両方とも no ですか? ここがどちらか yes であれば非常に問題です。時間がないでは許されません。
2013-01-09 21:59:31読んで字のごとく、「rootログインを許可する」「パスワード認証を許可する」という意味です。
パスワード認証を許可しない場合どうするのかと言うと、一対の秘密鍵と公開鍵を使って認証します。
これもサーバー設定の参考書などには基礎事項として書いてある筈です。