2005年07月17日() << 前の日記 | 次の日記 >>
これまでの07月17日 編集

■1Subject: Re:ご確認下さい。[spam]次の記事 >> このエントリーをはてなブックマークに追加

現在、お客様は仮登録状態にあります。
至急、本登録をお済ませ下さいます様お願いします。
仮登録の状態のままですと、当サイトのサーバーに影響
がでてしまい、損害賠償請求する場合もございます。
また、退会希望でしたら、無料にて退会手続きができますので
登録をお済ませ下さいますようお願いします。
下記へ空メールにて送信下さい。登録メールを送ります。
reg-M-pc01ma@19190930.com
Re:ご確認下さい。, kanri <kanrijimusyo@nifty.com>, 2005年7月16日
とか主張するspamが来た。
アドレス収集spam[http://www.nantoka.com/~kei/diary/?200505c&to=200505231#T200505231] の記事で触れた様に、アドレスの収集が目的だろうけれども、 仮登録のままだと影響が出てしまって、損害賠償を請求しなきゃいけなくなる様なシステムって言うのは一体どういうシステムだろう。

■ 関連記事

■2 そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが[http://bakera.jp/hatomaru.aspx/htmlbbs/article/3065][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

自己展開実行ファイルはウイルスと区別が付かない[http://www.nantoka.com/~kei/diary/?200506a&to=200506081#T200506081] の記事に関連するコメント。
GnuPGのバイナリ自体を安全に入手する方法について言及を避けているあたりが残念です【謎】。
言及を避けてはいないのだけれども、どうやってGnuPGのバイナリを安全に入手するかというのは確かに難しい問題だ。
パソコンの上で動かしている全てのソフトは信頼できるものでないといけない原則からすると、オンラインソフトは一切禁止という組織もあるだろう。
[memo:8538]の記事[http://memo.st.ryukoku.ac.jp/archive/200506.month/8538.html] に書いたが、私のところでは概ね
  1. コピー品ではない製品CD-Rom
  2. 自分でコンパイルした
  3. 公式配布サイトであると信じるに足るサイトからダウンロードした
  4. 複数のサイトからダウンロードして一致を確認した
場合は信用できるだろうという運用をしている。もちろん、ソースコードからコンパイルすれば確実に安全とも限らないし、公式配布サイトにあっても改竄されていたというケースはある。
ハッシュを確認しても、ハッシュが改竄されている可能性は否定できない。
どこからかは、費用対効果の問題になってしまう。
たとえば【謎】

http://www.gnupg.org/(en)/download/integrity_check.html

にはSHA1署名を下に貼ってあるから確かめろと書いてるわけですが、これ見てなんの疑問も抱かない人【誰】に総務省のオレオレ証明書とかを叩く資格はないと思います。
もちろん、
To be sure that this page has not been tampered, you may want to compare the list below with the one included in the announcement mail posted to several mailing list.
という指摘がされているが、英語を読めないあるいは読まない人や、頭を使わないあるいは使えない人は、ここに書いてあるハッシュ値をそのまま信じてしまうかも知れない。そういう脊椎反射な人には、確かに「総務省のオレオレ証明書とかを叩く資格はない」。
では、信用できるハッシュ値はどうやったら知ることができるかということになると、誰かあるいは何かを信用するしかないということになる。メーリングリストに定期的に投稿されているアナウンスは、より信用できるかも知れないが、絶対に安全とは言い切れない。この辺り、認証局モデルでは無いから仕方がないところだ。
企業でGnuPGを導入する場合は、この辺りの扱いの難しさがあることは感じる。配布に関しては、インストールキットを作る段階で、信用できるバイナリを入れておけば解決できるにしても、鍵運用の問題が残る。
いずれにせよ、自己展開実行ファイルを使う暗号化と決定的に異なるのは、実行ファイルに要求する信用度を受信側が決定できるということだ。この点を考えずに、自己展開実行ファイルによる暗号化とGnuPG等の暗号化ソフトを比較してはいけない。

この記事に頂いたコメント

Re: そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが by osho    2005/07/17 19:21
こういうのこそSNS風に信頼の輪を広げていかないといけないんでしょうけれど。 そうい...

■ 関連記事

■3 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏[http://pcweb.mycom.co.jp/articles/2005/07/12/wasf/][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが[http://www.nantoka.com/~kei/diary/?200507b&to=200507172#T200507172] の書き込みから、 水無月ばけら[http://bakera.jp/hatomaru.aspx/ebi/topic/2370] さんとこ経由で見つけた記事。
既存のサイトに対して、そのセキュリティ対策として『サニタイズ』を行うというのは、セキュリティ屋の発想としては極めて自然である
開発者にとっては綺麗にプログラムを書くことが大命題であり、セキュリティ屋が(セキュリティ関連の)問題を指摘してくると『プログラムが汚くなる』としてそれを嫌う人が多い
「セキュリティ屋」に皮肉の響きを感じ取ること!
「サニタイズ」のあやういところは、(書き手が思いついた)ブラックリストでしか無いというところだ。 taintperl使っているから、良く分かってるなと思って油断していると、
    $foo =~ /(.+)/;
    $foo = $1;
    if ($foo =~ /思いつくパターン/) {
        die "実行できません";
    }
    eval $foo;
とか、困ったコードを発見したりもするのだけど。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年07月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project