Namazu-users-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: コピーライトの表記について



寺西です。

BAC wrote:
> 
> > こんなすごい人なら、ソフト名、バージョンを消したぐらいでは攻撃を
> > 防ぐことなんてできないと思います。

いや、そんなすごい攻撃をする人のことまで考えてセキュリティを考える
なら、検索エンジンに Namazu を選択するという行為の方が問題でしょう。
というのが前提にあります。

>  あらかじめターゲットが決まっていれば別ですが、特定ソフトの特定バージョ
> ンのセキュリティホールを突くのであれば、まずは検索エンジンで攻撃対象を検
> 索するのではないでしょうか?

よく知られているセキュリティホールのある古いバージョンを攻撃するので
あればそうだと思います。

> やるべきセキュリティ対策をせずにバージョン表示を隠して誤魔化すのは
> まずいですし、やるべきセキュリティ対策をせずに古いバージョン表示
> をそのまま使っているのは更にまずいです。

と書いているように、古いバージョンを使っている場合は危険でしょう。
ただ、それは古いバージョンを使っているのが問題の本質です。
検索エンジンで見つからなければ、攻撃対象にならない(多少なりにくいの
かもしれませんが)というわけでもないでしょう。

# と言いつつちょっと検索すると古いバージョンの Namazu を使っている
# サイトがごろごろ見つかったりしたけど。バージョンアップしろよー。

また
> Namazuをよく知っていて、セキュリティホールを発見した悪意ある人にとって
とあるような未知のセキュリティホールに関しては、最新版であり、
もっとも多くのサイトで利用されているバージョンであることが
多いでしょう。

検索エンジンで検索すると、
検索結果にはゴミ(というと失礼だが)も含まれているので、結局検索結果
から実際に使っているサイトの絞込みをして、さらに CGI プログラムの
場所を特定して、攻撃しなければならいものと思われます。
これをオートメーションで行うのはちょっと難しく、多少なりとも
手作業が必要になるのではないかと思います。

検索エンジンで攻撃対象を検索するという手法があまり効率的とは思えず、
はたして主流の方法なのかどうかはやや疑問が残ります。
 
>  攻撃されたら防ぐことはできないかもしれませんが、まずは攻撃対象にならな
> いようにすることがセキュリティ確保の初手だと思います。

まぁそうなんですが、バージョン名を削ったから攻撃対象にならない
(なりにくい)か、どうかはやや疑問です。

ソフト名、バージョンを消したぐらいで攻撃対象にならないわけも
なく、また、攻撃者が検索エンジンから攻撃対象を決めるという前提が
守られていなければ攻撃対象からはずれることもできないので、
多少なりとも安全にはなるかもしれませんが、気休め程度にすぎない
のではないかと思います。

いやそんなことはない、バージョン表示は消して検索エンジンに検索されない
ことが重要だという人は、消すという選択肢を選んでいただいて良いとは
思います。私はそれを止める気はさらさらありません。

もっともそんなに神経質になるのなら、Namazu なんて無保証なものを
使わず、もっと別な検索エンジンを使う方がよっぽど安全なんではないか
とは思います。
-- 
=====================================================================
寺西 忠勝(TADAMASA TERANISHI)  yw3t-trns@xxxxxxxxxxxxxxx
http://www.asahi-net.or.jp/~yw3t-trns/index.htm
Key fingerprint =  474E 4D93 8E97 11F6 662D  8A42 17F5 52F4 10E7 D14E