アカウント名:
パスワード:
本丸である「Apache.org」に浸入される体たらくで、こいつらが関わってるソフトウェアのセキュリティ品質を信用できるのか?
と言われたら、なんと答えます?
貴方は本気でそれを口に出来ますか?
横槍でごめんなさい言っていることが・営業よりの意見(不安を煽るようなことは言うべきではない)と・技術者よりの意見(事実は事実として伝えなきゃいけない)で言合っているようにしか見えません。多分、お互の価値観について相容れがたいのだと思います。ソコはツッコミ入れてもしょうがないでしょう。
#最近、技術者寄りの意見をメールで流して、ウチの偉い人に怒られた。
水攻めにあったよう [kotobank.jp]ですな。
>しん‐にゅう〔‐ニフ〕【浸入】 ∧,,∧ (;`・ω・) 。・゚・⌒) チャーハン作るよ!! / o━ヽニニフ)) しー-J
信用できないのでぜひIISで。とMSは答えるでしょう。
# IIS は lighttpd または tux など任意に変更してください。
このような問題が一切、目に入らずにオープンソースの脆弱性ばかり目に付く人もいるのでしょうね。 IIS で FTP でファイルアップロードを許可してるサーバーはパスワードもへったくれも無くてやられるって事? これ、ゼロデイだし、発覚したばかりだから、こっちもソピックス上げたほうがいいんじゃないかな。
ネタにマジレス格好悪い。
その脆弱性を突いて攻撃を成功させるには少なくとも
のどちらかが必要だが、2番目は脆弱性以前に危険な状況なので論外。今回のFTP脆弱性も、少し前にあったWebDAVの脆弱性もデフォルトでは無効になっている機能で影響を受けないし、あえてセキュリティ的に弱い方向へ設定を変更しない限りまず影響を受けない類のもの。
処女のおばさんと、一度だけ経験のある少女と、どちらがお好みですか?
apache怖い、という意見をapacheなサイトに平気で書き込む親ACの矛盾。。。
それだよな
実際使い慣れてるapacheを外したくないんだけどこういった前歴が残ると色々と売り文句が減ってくるんだよな
私なら「なかなか難しい問題ではありますが全てに100%のものはありません、 今大丈夫だから永久に大丈夫とは言えません 逆に過去に失敗があったから将来もダメとも言い難い 後は付随する工数や各コストを踏まえて検討して下さい」
と言ってApacheとIISの二種類の見積もりで相手に検討させ
最後に「因みにですが、個人的な意見としては私ならapacheを選びます、 慣れもありますけど一番の理由はオープンソースである事で 制作会社の意向によるリリース中止等のリスクを回避できると信じているからです」と個人的な意見を付け加えておく
> 制作会社の意向によるリリース中止等のリスクを回避できると信じているからです
それで天下のマイクロソフトが、これだけ売れているソフトウェアを(製品名・方針などの変更はあるにせよ)リリース中止するのかね? と聞かれたら?
可能性の話であって無いとは言えませんねと答えてOKだろ
GMですら破綻するのです。MSがこの先どうなるかなんて、誰にもわかりません。もちろん、apache foundationがこの先どうなるかも分かりません(むしろ、MSが破綻する確率よりも、apache foundationがどうにかなる可能性のほうがはるかに高いでしょう)が、それでもソースは残ります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
質問です (スコア:0)
本丸である「Apache.org」に浸入される体たらくで、こいつらが
関わってるソフトウェアのセキュリティ品質を信用できるのか?
と言われたら、なんと答えます?
Re:質問です (スコア:1, すばらしい洞察)
Re: (スコア:0)
貴方は本気でそれを口に出来ますか?
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re:質問です (スコア:1)
横槍でごめんなさい
言っていることが
・営業よりの意見(不安を煽るようなことは言うべきではない)
と
・技術者よりの意見(事実は事実として伝えなきゃいけない)
で言合っているようにしか見えません。
多分、お互の価値観について相容れがたいのだと思います。
ソコはツッコミ入れてもしょうがないでしょう。
#最近、技術者寄りの意見をメールで流して、ウチの偉い人に怒られた。
Re: (スコア:0)
Sendmailは実際に毒入りソースコードを配布して使われた経験アリ。
皆の大好きなMozilaの関連団体も不正侵入されたし。
Linuxは、RedHat, Debian....キリがない。
OSSじゃないけど、トレンドマイクロはウィルス情報サイトが改ざん
されたこともありますね。
浸入 (スコア:1)
水攻めにあったよう [kotobank.jp]ですな。
Re: (スコア:0)
>しん‐にゅう〔‐ニフ〕【浸入】
∧,,∧
(;`・ω・) 。・゚・⌒) チャーハン作るよ!!
/ o━ヽニニフ))
しー-J
Re:質問です (スコア:1)
信用できないのでぜひIISで。
とMSは答えるでしょう。
# IIS は lighttpd または tux など任意に変更してください。
Re:質問です (スコア:2)
インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される
このような問題が一切、目に入らずにオープンソースの脆弱性ばかり目に付く人もいるのでしょうね。
IIS で FTP でファイルアップロードを許可してるサーバーはパスワードもへったくれも無くてやられるって事? これ、ゼロデイだし、発覚したばかりだから、こっちもソピックス上げたほうがいいんじゃないかな。
Re:質問です (スコア:1)
ネタにマジレス格好悪い。
その脆弱性を突いて攻撃を成功させるには少なくとも
のどちらかが必要だが、2番目は脆弱性以前に危険な状況なので論外。
今回のFTP脆弱性も、少し前にあったWebDAVの脆弱性もデフォルトでは無効になっている機能で影響を受けないし、あえてセキュリティ的に弱い方向へ設定を変更しない限りまず影響を受けない類のもの。
Re:質問です (スコア:1, 参考になる)
IIS 5.xの脆弱性の数は多いけれども。
IIS 6.0では、ASPやASP.NETなんかの既定で有効にならないモジュールを除くと1つくらいしかない。
FTPサービスは既定で有効にはなっていません。
WebDAVも同様です。好印象のないFrontPage Server Extensionも。
サーバーの役割には追加されていないサービスとなっています。
(2003年から現在までで見つかった数)
IIS 6.0の役割を有効にした最初の状態では脆弱性は1つ (だったかな。2つはない。)。
IIS 6.0で提供できるサービスを全部有効にしたら7つ。
ただ、既定で有効ではないと言っても使っている人がいるので対処する必要がありますね。
それでもなんだかんだで一部では煙たがられているようですが、なんなんでしょ。
私は既にIIS自体は信頼できる部品の一つとして見ていますが。
Re: (スコア:0)
処女のおばさんと、一度だけ経験のある少女と、
どちらがお好みですか?
Re: (スコア:0)
Re: (スコア:0)
そ こ で !
こちらの会社のWAFを並行して導入、念のため二台でHA構成にし、
さらに不正データ改変監視装置を導入して、今ならお値段○○○○万円!
お買い得ですよ!
# ……っていう趣旨の質問ですよね?
Re: (スコア:0)
apache怖い、という意見をapacheなサイトに平気で書き込む親ACの矛盾。。。
Re: (スコア:0)
それだよな
実際使い慣れてるapacheを外したくないんだけど
こういった前歴が残ると色々と売り文句が減ってくるんだよな
私なら
「なかなか難しい問題ではありますが全てに100%のものはありません、
今大丈夫だから永久に大丈夫とは言えません
逆に過去に失敗があったから将来もダメとも言い難い
後は付随する工数や各コストを踏まえて検討して下さい」
と言ってApacheとIISの二種類の見積もりで相手に検討させ
最後に
「因みにですが、個人的な意見としては私ならapacheを選びます、
慣れもありますけど一番の理由はオープンソースである事で
制作会社の意向によるリリース中止等のリスクを回避できると信じているからです」
と個人的な意見を付け加えておく
Re: (スコア:0)
> 制作会社の意向によるリリース中止等のリスクを回避できると信じているからです
それで天下のマイクロソフトが、これだけ売れているソフトウェアを
(製品名・方針などの変更はあるにせよ)リリース中止するのかね? と聞かれたら?
Re: (スコア:0)
可能性の話であって無いとは言えませんねと答えてOKだろ
Re: (スコア:0)
GMですら破綻するのです。MSがこの先どうなるかなんて、誰にもわかりません。
もちろん、apache foundationがこの先どうなるかも分かりません
(むしろ、MSが破綻する確率よりも、apache foundationがどうにかなる
可能性のほうがはるかに高いでしょう)が、それでもソースは残ります。
Re: (スコア:0)
機能をてんこ盛りにして利益率を高くした新製品を開発し、"新製品にリソースを集中するので
旧製品をお使いの方は移行してください。旧製品の保守はあと○ヵ月で終了します。"
ってのはありがちでは。
Re: (スコア:0)
「顧客・ユーザにとって良いもの」
と
「開発者・SIerにとって楽なもの」
は違うんですよね。
顧客にとってはC#などで書かれたやつをIISで動かすほうが
適切なところってあります。
でも、自己中で傲慢なベンダーは
「IIS?Windows?そんなの危ないですよ。やっぱApacheとLinuxでしょ?」
って押し付けてくるんですよね。
だからオプソ信者のいるベンダーには頼みたくない。