[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[b-free: 1713] Re: B-FreeOS セキュリティ関連
きしだです
:注: 私はMSシンパではありません...
私もです (^^) ちなみに嫌いなメーカでもありません。
「使うのならデメリットも含めて知っておくべきだ」が自分の主義です。
:ただたんに、手元で使えるOSが、Windows系とUNIX系なので、
:それらを例に出しているだけであります。
:これらのセキュリティは十分でないという話はよくあるので、
:そう思われる方は、別の例を出していただけると非常に嬉しいですね。
:IBMのASなんとか(汎用?)などは、セキュリティが強いという
:話もあるようなので、そういうものに詳しい方は...
:> :Microsoft がやっているみたいに、IE のサービスパックを
:> :ダウンロードして直ちにアップグレードできるみたいな仕組みは、
:> :みんなにセキュリティホールを塞がせる効果もあると思います。
:> あれはセキュリティホールでは有りません。
:「あれ」というのが、「どれ」のことなのかわからないのですが... (^^;
「あれ」としか 言いようの無いほどいっぱいあります。(^^) はははは...
:私は別に、特定のセキュリティホールと、特定のパッチについて
:述べたわけではありません。
:パッチを当てさせるための方法論についてだけ述べただけであります。
:それはともかく、IE という例が悪かったかも知れませんが、
:Microsoft の場合、Office や IE のアップグレードのついでに、
:あんまり関係ないところのバグまで一緒に直しているようなフシがあります。
:それは、それでいいことだと思いますが。
直そうという点につては良いんですが、「仕様」を良く考えないと。
結局、ふさげない穴が残ったままになるのではないかと心配でして。
特に自動的にアップグレードする方法は画期的なんでしょうが、失敗も多いです。
繰り返しますが、何か良い案が無いと危なすぎるのではないかと思います。
:> あと良く誤解がある WinNTのC2セキュリティは、ネットワークに繋がない状態で
:> のみ実現できています。
:これに関しては、C2の検査項目には、ネットワーク関係は
:含まれていないんだったと、聞いていますが。
C2の項目としてはネットワーク関連の物もあります。
http://www.radium.ncsc.mil/tpep/epl/epl-by-class.html
含めずにテストを受けただけだったはずです。
本来サーバー用途なのですから受けてもおかしくはないはずです。
(というよりそれは詐欺なのでは...)
NTのセキュリティに付いては以下のリンクが良くまとまっています。
http://www.jwntug.or.jp/wg/ntsec/info/osi/doc-j.html
:> このあたり、セキュリティに関してノベルに追いつけない理由でしょう。
:Windows95 から、Netware のドライブを割り付けるときに、
:違うサーバであっても、ユーザ名/パスワードが同一な場合には、
:パスワードを問い合わせるダイアログが開かないんですけど、
:これって、Win95 が悪いんですか? Netware が悪いんですか?
:それとも、Trusted relationship が、定義されてたんでしょうか?
あの、えーっと。どちらも悪くありません。
「割り当てる」って動作自体が Netwareにログインネームとパスワードを
送る動作です。(普通は暗号化して送っているから生のままは流れないはずです)
たぶん Trusted relationship は結ばれていないでしょう。
Win95だとログインネームとパスワードがあまりに簡単に取り出せるので
すぐにパスワードを変えて、Netwareのclient32をインストールして
おいたほうが無難です。(みんなに知られちゃったし)
:> 設定の修復、パッチあて、アップグレードなどの入り口は良く設計しておく必要
:> があります。(大概の所で失敗を重ねています)
:> このあたり、何かお考えをお持ちの方はおられますか?
:私が言いたかったのは、結局「全能ユーザ(or全能モード)」は
:作らざるを得ないのかな、ということです。
:いったい、root/Administratorなしのシステムで、
:いかに修復、パッチ、アップグレードをすればいいのでしょうか。
:全能モードとネットワークモードは別にして、
:ネットワークを利用しているときには、
:設定等をいじることはできないというのも案です。
:シングルユーザモードみたいに。
:そうすれば、リモートからクラックすることは困難かもしれません。
:Plan9には、全能ユーザがいないとかなんとか、
:聞いたことがありますが、どうなっているんでしょうか?
個人的には複数に権限を分けて、その資源に対して操作する場合はその
権限を持った状態でしか作業できない様にしてしまうのが良いのではないかと
思っています。
どれかを取られても全部は取られない所がミソではないかと思います。
(一度に全部の権限を使うかどうかは個人の好み)
plan9は忘れました。すいません。調べておきます。
---------------------------------------------------------------------------
きしだまさみ
mailto:mkishida@fecsi.furuno.co.jp
---------------------------------------------------------------------------