トラックバック頂いて気付きましたが、naoyaさんとかishinaoさんといった大御所の皆さんに先日の記事内容について、かなーり叩かれているみたいです。
naoyaさんとこのコメントなんかでは「指摘した人のオナニーのようなw(記事)」とか言われちゃってますし(泣
などと多少なりとも落ち込んでしまったので、おちゃらけで書き始めてしまいましたが、まずは色々ご意見ありがとうございました。
お二人の記事やコメントを拝見するに、「この程度のことを脆弱性と呼んで騒ぎ立てるな!」ということだと一応読ませて頂きました。
何が脆弱性で脆弱性とは言わないかは定義の問題でもあり、私の理解が間違っているなら訂正します。
私の理解ですが、ある別の脆弱性によって始めて発現する弱点があり、それがユーザーに不利益を被る可能性があるのであればそれを脆弱性といって報道などで喚起されても特に違和感は感じません。
一つには、たった一つの弱点によって攻撃がされることもあるでしょうが、複数の弱点が組み合わされて突かれるケースも結果としては同じことだからです。つまりこうした個々の表面化はしない可能性もあるリスクを一つ一つ取り除いていくのがセキュリティ確保の基本的な考え方でもあります。
次に、これを発現する元となる脆弱性(ここではCSS/XSS)はこれまで何度も様々な原因で問題となってきており、一般的には今後も同様の問題が出てくる可能性は高いと考えるべきでしょう。若しくは未だ対処されていない場合もあるやも知れず個々のユーザーでは既に条件を満たしているかも知れません。
三番目として、今回の場合はよりセキュアと広く理解されている手法は採用されておらず、次善策以下が積極的に採用されるのに理由が無いからです(アーキテクト上不能、などのケースはあるかも知れませんが)。この場合ユーザーへのインパクトはより大きくなる訳で、これをもって、より脆く弱い性質を保持していると理解しても差し支えないように思います。
同じ理由により、「POP3でも平文パスワードが流されている」といった類例は成り立たないと考えます。
とは言え所詮これは言葉の定義の問題です。
大多数がどのように理解するかなので、お前ごときがミスリードするな、と言われればそれは確かに(^^; その時は引っ込むようにします。
但し、故に「何が事実か」が十分に語られて個々の判断に足る情報が出来る限り得られることこそが重要と思っていますし、それが先の記事を結局書くことにした理由でもありました。
また簡単な感想なのですが、
「Webアプリケーション作るならセッション管理にはランダムなセッションIDぐらい使わないとなー」とか、「一応気付いたことがあったらベンダーに報告ぐらいはしておこう」というのは今日びの一般的エンジニアとしてはごく普通の感覚かとは思うのですが・・。
感性ずれてるでしょうか?私??
# なおPerlの件はセッションIDの取り扱い方について言語間で差異があるのかなという純粋な感想でしかないです。馬鹿にしたように読めてしまったとしたらすみませんでした。
今回のような件は私も初めてだったもので、考えることも多々ありました。
同様に、またご意見頂ければ嬉しく思いますので、宜しくお願いします。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/3630283
この記事へのトラックバック
[MT][セキュリティ][脆弱性] Re:「ここギコ!: MovableType脆弱性の話」 (16:49)
Excerpt: 個人的には(そこまで重大かどうかは別として。緊急度は「低」だと思う)やっぱりこれは脆弱性といってよいのでは、と思います。まあそう考える人もいるでしょう。元報告者の方およびその報告を受けて対応した方々は...
Weblog: tdiary.ishinao.net
Tracked: 2005-05-14 17:12
脆弱性とセキュリティホール
Excerpt: Movable Typeの「【重要】 第三者による不正アクセスを許す危険性の
Weblog: Marklet BLOG
Tracked: 2005-05-15 01:47
http://blog.seesaa.jp/tb/3630283
この記事へのトラックバック
[MT][セキュリティ][脆弱性] Re:「ここギコ!: MovableType脆弱性の話」 (16:49)
Excerpt: 個人的には(そこまで重大かどうかは別として。緊急度は「低」だと思う)やっぱりこれは脆弱性といってよいのでは、と思います。まあそう考える人もいるでしょう。元報告者の方およびその報告を受けて対応した方々は...
Weblog: tdiary.ishinao.net
Tracked: 2005-05-14 17:12
脆弱性とセキュリティホール
Excerpt: Movable Typeの「【重要】 第三者による不正アクセスを許す危険性の
Weblog: Marklet BLOG
Tracked: 2005-05-15 01:47
Opera9.50が爆速な件
ニコニコPodder
2008-06![[RDF Site Summary 1.0]](http://www.rocaz.net/rss10.png)
![[RDF Site Summary 2.0]](http://www.rocaz.net/rss20.png)
![[Bloglinesに登録]](http://www.bloglines.com/images/sub_modern4.gif)
![[Syndication Subscription Service]](http://www.rocaz.net/xml-subscribe.png){kind=small}
結果的にはよかったんじゃないでしょうか、何をもって脆弱性とみなすかみたいな濃いい議論に発展させることもできたわけですし、僕自身も勉強になりました。
今後ともよろしくお願いします。
ただそれが最後まで「脆弱性」として扱われるのは、私の感覚とはずいぶん違っているので、そのあたりのずれを修正(あるいは私の方の感覚が間違っているならそれを修正)するために、あのような記事を書いています。
ありがとうございます。そう言ってもらえると救われます(嬉泣
naoyaさん、
さっき読み返してたんですが、やっぱりそこの私の書き方が悪かったんですね。煽ったようになって論点をずらさせてしまい申し訳ないです。
セキュリティはカテゴリーのように語られますが、本来はレイヤー属性だと思うので、いい議論を積み重ねられるのは私も嬉しいし楽しいですね。
こちらこそ今後とも宜しくお願いします。
ishinaoさん、
Perlの件は表現悪すぎなのと、とは言え視点として示してみて識者の意見が欲しい点があり、後で書き直してみます。指摘などありましたらまたお願いします。
また記事で記載した通りなのですが、単純に「一般的に考えうる可能な方法が取られていなければ脆弱性と呼ばれても仕方ない」ところの切り分けなのかと推察します。
まあこの「一般的」というところが問題な訳で。私や私の周りの人間であればそう判断する、または特に客相手だとかなり突っ込まれかねない(本当に煩い人は煩いので)といった感覚からの判断だったりしてます。
揶揄するつもりはなく、自分もオナニー派?
なので、悪意などはなかったのですが、
面識のない方への言葉としては大変
不適切でした。ごめんなさい。
指摘されていたことは、perlうんぬんは
除いて、大変的を得ており、ぼくも
賛同です。
今回の件で、「脆弱」「セキュリティホール」
の言葉の定義を再認識させられました。
指摘のあった部分は、「脆弱」であったと
思います。そういう意味ではPOP3も「脆弱」
でしょう。経路でパスワードを覗き見する
ことは、可能ですから。
ただ、セキュリティホールではなかったと
思います。そこらへん、混同してました。
これらの言葉の解釈や感覚は人それぞれ
温度差がありますよね。
とても勉強になりました。ありがとう
ございました。
MD5,SHA1に脆弱性が見つかった。
これは間違っているでしょうか?
正直悪意にしか聞いていなかった私ですが、謝っても頂き、幸い立ち直りは早い方でしたので(^^;
今後ともどうぞ宜しくお願いします。
>そういう意味ではPOP3も「脆弱」
>でしょう。経路でパスワードを覗き見する
>ことは、可能ですから。
これはレイヤーが異なる話なので、POP3の脆弱と言うのはどうかなと思うのですが、どうでしょう。
また、
>MD5,SHA1に脆弱性が見つかった。
私が言葉の定義をしても仕方ないとは思いつつ、コリジョンなどの従来の理解より弱い性質が見つかったという意味の用例なら「個人的には」違和感は無い気が。
宜しくお願いします。
ということなんですよねー。考えられるベストな方法よりも「脆弱」、相対的なものかと。
なので、POP3はPOP3Sよりも脆弱なんです。
といった観点からすると、今回の件も「脆弱性」といっても間違いでないと思うのですが、
では、IPAで公開されるほどのものかという
意味では、みなさん違和感を感じているのだと
理解しています。