セキュアでなくても事故が起こらなければいいSFC武田教授とFB良品の問題点を叩いている人たちとの議論
-
yousukezan
- 15291
- 0
- 12
- 8
-
- いいね!8
いつき
@ityuki
@keijitakeda ご指摘ありがとうございます。http://t.co/XNREcrf8 「本セキュリティホールについて」の部分にご指摘頂いた内容を追記しました。
2012-12-31 11:02:15
いつき
@ityuki
@keijitakeda そもそもログインフォームのあるページはSSLのページでは無いので、サイトの真偽性については元々確認不可能です。今回の問題はその部分にあると思っています(他にも思う所はいくつかありますが、書きすぎると焦点がぼやけるためMITMに限定しました)
2012-12-31 11:04:33
いつき
@ityuki
@keijitakeda 今回は、意味が分かっていなさそうな運営側へ向けてのデモの意味合いが強いので、意味が分かっている人が手動で、という手段をあえて避けました。現実の想定を明記していなかった(想定が甘かった)のは私のミスです。すみません。
2012-12-31 11:07:19
keijitakeda
@keijitakeda
@ityuki あ、いえいえ謝ることはないと思います。ただ私自身は「分かっていなさそうな運営側」にwebサイトからダウンロードしたbatを管理者権限で実行させることについて逆に危険を感じました。
2012-12-31 11:11:08
いつき
@ityuki
@keijitakeda 確かにその部分は危険な感じではあります。私の想定では「多分hostsの編集方法分からないだろうな…」と思ったのでbatファイル化しましたが、何か良い方法は無いものでしょうかね。実被害を出さずに分かってない人もテスト可能なPoC作ることはとても難しいです…
2012-12-31 11:15:32
いつき
@ityuki
@keijitakeda 一応、勝手に管理者モードで実行出来るexeではなくbatで配布したのは、中を読めて処理内容を確認出来るということが可能だからですが……。うーん、セキュリティホールを理論で分かって貰えない人にどうやって納得して貰うかはとても難しい……。
2012-12-31 11:21:42
keijitakeda
@keijitakeda
@ityuki そうですね。batファイルをダウンロードして実行する事自体が危険なことなのでその危険性をわかって納得してもらう別のPoC(?)が必要になりますね。各ステップの意味を理解してもらわない限り難しいかと思います。
2012-12-31 11:24:54
いつき
@ityuki
@keijitakeda shutdown /s /t 5 と書いたbatファイルとか?(^^; batファイル実行の危険性って、真面目にやると本当にシステムに悪影響が出るので、簡単なことぐらいしか。でも「シャットダウン出来るショートカットと何が違うの?」と言われると、うーん。
2012-12-31 11:33:07
いつき
@ityuki
自らをツイッター/フェイスブック学会長やら教祖と名乗り、人の批判に暴言しか吐かない人間にhttps://t.co/ba0vdO2L 批判するとか言われてもなぁ(笑) それはギャグで言っているのか?(AA略) ってセリフが思い浮かんだw
2012-12-31 11:40:05
がる
@gallu
@keijitakeda @fmht7 ハインリッヒの法則、って、ご存じあります? & セキュリティのうちのいくつかは「起きた後の対応じゃまずい」んですが、そのあたりって、こういう物言いは大変に失礼かとは思いますが、理解されてますか? 理解している「つもり」ではなくて。
2012-12-31 14:20:49
keijitakeda
@keijitakeda
セキュリティのインシデント対応に十年以上関わって学んだことは過剰なセキュリティ対策はそれ自体が被害だっていうことかな。
2012-12-31 15:59:57
greenz(無)
@greenz_greenz
@keijitakeda 対策自体、そして過剰を求める経営層の意識、セキュリティ強迫観念、セキュリティ絶対主義… 挙げればキリがないですね…(笑)
2012-12-31 16:01:21
keijitakeda
@keijitakeda
@greenz_greenz 事前対策と事後対応、脅威環境のコストバランスを考慮して考えなくてはいけないのですがどうも形式的なところにとらわれがちですね。
2012-12-31 16:03:36
greenz(無)
@greenz_greenz
@keijitakeda 詳しい人間が過剰要求するケースもあれば、詳しくない人間が過剰要求するケースもあって、中々に複雑怪奇です。会社等自身が「何をしたいか」を見失っているように感じますね。
2012-12-31 16:05:23
keijitakeda
@keijitakeda
@greenz_greenz 結局保険をいくらかけるかみたいな話になり落としどころは主観的にならざるを得ないのでしょうね。一般にはリスクを回避する側に振った方が安心だからいくらでも大きくなってしまいます。
2012-12-31 16:07:58
keijitakeda
@keijitakeda
「起きた後の対応じゃまずい」ケースとして考えられるのは情報セキュリティ事故が人命や人間の尊厳に関わるケースなのですが結果としてどちらも許容リスクとして放置されています。
2012-12-31 16:10:39
keijitakeda
@keijitakeda
だって衆議院、参議院、防衛産業にバックドアを仕込まれたり公安を含む警察から捜査情報が流出してても平気なんだぜ。
2012-12-31 16:34:50
がる
@gallu
@keijitakeda @fmht7 http://t.co/zViwTghT http://t.co/li6Uc60q このあたりと、交通事故、あたりからお好きなところを。では質問を返します。「起きた後の対応でまずくない」セキュリティの具体例をしめしてください。
2012-12-31 17:56:52
keijitakeda
@keijitakeda
@gallu @fmht7 「起きた後の対応でまずくない」セキュリティは存在しないですね。でも起きなければまずくはないですね。
2012-12-31 19:19:04
keijitakeda
@keijitakeda
@gallu バランスの問題でしょうね。社会的にいろいろなリスクが許容されてまわっている現実がある一方で、ネットの特定コミュニティに目を付けられた問題だけが徹底的に叩き潰されることへの違和感でしょうか。
2012-12-31 19:26:48
がる
@gallu
@keijitakeda 「社会的にいろいろなリスクが許容されてまわっている現実がある」なるほど社会的なリスクは「そのリスクの中身が理解され、それによるデメリットを理解した上で、意図的に許容されている」という認識なのですね?
2012-12-31 19:47:56
がる
@gallu
@keijitakeda あと「バランス」とは何を指してますか?「全ての問題に対して平等に叩かれるのならよいけれども、一部だけがたたきつぶされるのであれば、たたきつぶすのがオカシイから、指摘をしないほうがよい」という意味合いに読み取れますが、あってますか?
2012-12-31 19:50:08