[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[b-free: 1715] Re: B-FreeOS セキュリティ関連
きしだです。
:> 直そうという点につては良いんですが、「仕様」を良く考えないと。
:> 結局、ふさげない穴が残ったままになるのではないかと心配でして。
:> 特に自動的にアップグレードする方法は画期的なんでしょうが、失敗も多いです。
:> 繰り返しますが、何か良い案が無いと危なすぎるのではないかと思います。
:はい、そう思います。
:しかし、こればっかりは、デジタル署名に頼るしかないのでは?
デジタル署名も万能ではないので、一回こっきり署名する Active-Xみたいな
使い方は危ない様に思います。(実際成りすましで問題になった)
:> C2の項目としてはネットワーク関連の物もあります。
:> 含めずにテストを受けただけだったはずです。
:> 本来サーバー用途なのですから受けてもおかしくはないはずです。
:> (というよりそれは詐欺なのでは...)
:なるほど、そうだったんですか。それは詐欺ですね。
:> :Windows95 から、Netware のドライブを割り付けるときに、
:> :違うサーバであっても、ユーザ名/パスワードが同一な場合には、
:> :パスワードを問い合わせるダイアログが開かないんですけど、
:> 「割り当てる」って動作自体が Netwareにログインネームとパスワードを
:> 送る動作です。(普通は暗号化して送っているから生のままは流れないはずです)
:うーむ。それでは、相手のサーバには、パスワード(ハッシュ化されたパスワード?)が、
:分かってしまうんではないでしょうか。
:でも、Netware のパスワードが表示される Web ページというものは、
:聞いたことがないところを見ると、
:そうはならないようになっているのでしょうか...
client32を入れている場合、Netwareでは認証にケルベロス等が使われています。
暗号化したパスワードにしろ、何かしらサーバー側に送らなければならないのは
変わりありません。
この時、「読まれにくい暗号で送る」と「パスワードを盗まれない様にする」が
一番大事な事です。
恐いのは Windows95から生のパスワードが盗まれて、Netwareのサーバーに
ログインされる事です。
自分は、Win95に元々入っているNetwareClientはすぐ捨てました。
(管理者より、ものすごく危なっかしいので捨てろと指示が出ました)
あとパスワードや権限の情報はそのままではNetwareからは取り出せません。
権限と特殊な操作が要ります。
デフォルトの設定でC2クラスのセキュリティが実現できたかどうかは
良く覚えていませんが、それなりの設定だった様に思います。
:> 個人的には複数に権限を分けて、その資源に対して操作する場合はその権限を
:> 持った状態でしか作業できない様にしてしまうのが良いのではないかと思って
:> います。
:> どれかを取られても全部は取られない所がミソではないかと思います。
:> (一度に全部の権限を使うかどうかは個人の好み)
:いやまあ、しかしながら、そうしてしまっても、
:su みたいなことができてしまうと、意味がないと思いませんか?
:というか、ある権限レベルから別の権限レベルへのスイッチという
:ものは、必要になると思うんですよ。
:結局、あらゆる権限にスイッチできる権限というものが、
:最高の権限になってしまうわけです。
:NT がまさに、そういう状態でして、個々のファイルのアクセス権に
:Administrators を入れなければ、たとえ Administrator でも
:GUI からは、そのファイルにアクセスできないわけですが、
:Administrators は、誰にでもスイッチできてしまうので、
:結局それって、手間が1段階増えただけじゃないかという...
ここでは 逆に root を無くして何個かに分けようと思っています。
3つ集めればrootになれると... (^^)
それか、誰かの承認がいるとか...
ここら辺は要検討ですね。
---------------------------------------------------------------------------
きしだまさみ
mailto:mkishida@fecsi.furuno.co.jp
---------------------------------------------------------------------------