こんばんわ、政です。 kokishi wrote: > 幾許と申します。firewall の構築などをナリワイとしています。 > 引用を前後します。 > > On Sun, 7 Mar 2004 17:25:28 +0900 > Hirofumi Nakazono <silentz@xxxxxxxx> wrote: > > >>言うなれば、セキュリティー対策を施さずに、いきなり >>Vine Linux初心者の私が、無料Webサービスを稼働させてしまった >>以上、もう後戻りはできません。 >>セキュリティー対策を施すまで、Web Serverの >>稼働を停止し、再開するまでユーザー様に待って頂くわけには行きません。 >>ですので、そこまでユーザー、第三者に御迷惑を >>お掛けするわけにはいかないと考えました。 > > > 待って貰えば いいのでは ないですか? > 後戻りしましょうよ。 > その "無料Webサービス" とやらのユーザーさんも、 > いい迷惑だと思いますし。 > 私も待ってもらう方に賛成します。 酒井さんが例え話をされてますが、もう少し現実的な話しをしましょう。 以下に書く内容は中園さんを誹謗中傷する気は全くありませんし、 イジメようとする意志もありません。 またユーザを大事にするという気持ちも理解しているつもりです。 また中園さんのセキュリティ対策がどのようになっているかも判らない 状況での仮定の話しです。 仮定1 ユーザさんがある時、自分のホームページを見たら第三者によって 書き換えられてました。 その時、中園さんはどう対処するのでしょう? 仮定2 ユーザさんの友人の方がユーザさんのホームページを見たら悪意のある 第三者によって凶悪なコードを仕込まれており、それによって友人の方が 被害を被ったとしたら、どう対処されますか? 仮定3 悪意のある攻撃者が中園さんのサイトを踏台にして、某国の国家機密を 盗んでしまいました、これによって中園さんが賠償請求をされたら どうされますか(国家機密だけに賠償金も高額になると思われます) 上記の仮定の話しは実話を基に少し内容を変えています。 仮定1について ホームページが改竄されるという事は結構、聞く話しです。 最近ですと自治体のホームページが改竄されたという話しが ニュースになりました。 ちなみに、このMLで書かれた内容はWeb上で検索可能ですので 攻撃対象にされる可能性があります。 仮定2について 仮定1のホームページを改竄する際に簡単なコードを仕込む事によって 見ている方のマシンに打撃を与える事が出来ます。 (一番簡単なのはブラウザクラッシャーでしょうか) 仮定3について 数年前にコンピュータ業界とは関係のない日本の会社員のところに 米国国防総省(いわゆるペンタゴン)から手紙が届きました。 内容は「ペンタゴンのマシンに不正にアクセスするな!」という 内容のものだったそうです。 会社員は驚きました、確かに趣味で時々インターネットは利用していた ものの、ペンタゴンのマシンにアクセスはしていません。 あとから判った事は米国でも日本でもない他の国から日本(のマシン)を 踏台にしてペンタゴンの情報を引き出そうとしていたらしいのです。 でも、ペンタゴン側から見れば日本のマシンからアクセスされているように 見えるため、日本の会社員に対して警告の手紙が届いたそうです。 > 以下のような事をユーザーさまがた に素直に言ってしまえば > 分かって貰えるかもしれませんよ。 > 「自分は iptables や Vine に詳しくありません。 > だから 無料Webサービスのセキュリティは万全では ないかもしれません」 > ユーザの方々を大事にされるのは判りますが、誠意を持って説明すれば 納得していただけるのではないでしょうか? 問題点を隠蔽したまま問題が起きるのと、問題点を開示するのと どちらがユーザを大事にする事になりますでしょうか? 最近の色々なニュースを見ても隠蔽しようとする人と誠意を持って 情報公開した人と、どちらが良く見えますか? それと、ついでになんですが..... 中園さんのmail[vine-users:064908]より抜粋 > ◆phostfixを稼働させ、sendmailを使用。 とありますが、phostfixではなくpostfixの事ですよね? postfixとsendmailは各々違うソフトウェアで両方とも似たような仕事を してくれる というのは理解されてますか? (通常、最近のVineLinuxにはsendmailは標準では入っておりません) それと、 http://www.matsusaka-u.ac.jp/~okada/linux/iptables.html の内容をそのまま適用されたのですか? 環境がよく判らないので何ともいいかねますが、そのまま適用というのは 無理があるような気がします。 また、上記URLに書いてある内容を否定する気は毛頭ないのですが、一部 Vineでは少し?と感じる部分もありました。