この記事は移動しました
URL: http://blog.rocaz.net/cgi/article.cgi?t=2005/05/14T16:04:00
2005年05月14日
この記事へのトラックバック
[MT][セキュリティ][脆弱性] Re:「ここギコ!: MovableType脆弱性の話」 (16:49)
Excerpt: 個人的には(そこまで重大かどうかは別として。緊急度は「低」だと思う)やっぱりこれは脆弱性といってよいのでは、と思います。 まあそう考える人もいるでしょう。元報告者の方およびその報告を受けて対応し..
Weblog: tdiary.ishinao.net
Tracked: 2005-05-14 17:12
脆弱性とセキュリティホール
Excerpt: Movable Typeの「【重要】 第三者による不正アクセスを許す危険性の
Weblog: Marklet BLOG
Tracked: 2005-05-15 01:47
このブログは移動しました
結果的にはよかったんじゃないでしょうか、何をもって脆弱性とみなすかみたいな濃いい議論に発展させることもできたわけですし、僕自身も勉強になりました。
今後ともよろしくお願いします。
ただそれが最後まで「脆弱性」として扱われるのは、私の感覚とはずいぶん違っているので、そのあたりのずれを修正(あるいは私の方の感覚が間違っているならそれを修正)するために、あのような記事を書いています。
ありがとうございます。そう言ってもらえると救われます(嬉泣
naoyaさん、
さっき読み返してたんですが、やっぱりそこの私の書き方が悪かったんですね。煽ったようになって論点をずらさせてしまい申し訳ないです。
セキュリティはカテゴリーのように語られますが、本来はレイヤー属性だと思うので、いい議論を積み重ねられるのは私も嬉しいし楽しいですね。
こちらこそ今後とも宜しくお願いします。
ishinaoさん、
Perlの件は表現悪すぎなのと、とは言え視点として示してみて識者の意見が欲しい点があり、後で書き直してみます。指摘などありましたらまたお願いします。
また記事で記載した通りなのですが、単純に「一般的に考えうる可能な方法が取られていなければ脆弱性と呼ばれても仕方ない」ところの切り分けなのかと推察します。
まあこの「一般的」というところが問題な訳で。私や私の周りの人間であればそう判断する、または特に客相手だとかなり突っ込まれかねない(本当に煩い人は煩いので)といった感覚からの判断だったりしてます。
揶揄するつもりはなく、自分もオナニー派?
なので、悪意などはなかったのですが、
面識のない方への言葉としては大変
不適切でした。ごめんなさい。
指摘されていたことは、perlうんぬんは
除いて、大変的を得ており、ぼくも
賛同です。
今回の件で、「脆弱」「セキュリティホール」
の言葉の定義を再認識させられました。
指摘のあった部分は、「脆弱」であったと
思います。そういう意味ではPOP3も「脆弱」
でしょう。経路でパスワードを覗き見する
ことは、可能ですから。
ただ、セキュリティホールではなかったと
思います。そこらへん、混同してました。
これらの言葉の解釈や感覚は人それぞれ
温度差がありますよね。
とても勉強になりました。ありがとう
ございました。
MD5,SHA1に脆弱性が見つかった。
これは間違っているでしょうか?
正直悪意にしか聞いていなかった私ですが、謝っても頂き、幸い立ち直りは早い方でしたので(^^;
今後ともどうぞ宜しくお願いします。
>そういう意味ではPOP3も「脆弱」
>でしょう。経路でパスワードを覗き見する
>ことは、可能ですから。
これはレイヤーが異なる話なので、POP3の脆弱と言うのはどうかなと思うのですが、どうでしょう。
また、
>MD5,SHA1に脆弱性が見つかった。
私が言葉の定義をしても仕方ないとは思いつつ、コリジョンなどの従来の理解より弱い性質が見つかったという意味の用例なら「個人的には」違和感は無い気が。
宜しくお願いします。
ということなんですよねー。考えられるベストな方法よりも「脆弱」、相対的なものかと。
なので、POP3はPOP3Sよりも脆弱なんです。
といった観点からすると、今回の件も「脆弱性」といっても間違いでないと思うのですが、
では、IPAで公開されるほどのものかという
意味では、みなさん違和感を感じているのだと
理解しています。