[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:04221] Re: 絶対に見つけられないWebアプリ攻撃は存在する

佐名木@忙しそうにしていて実は暇という者です。

Hideaki Ihara wrote on 2003-10/3(金) 11:7:7
>「無かった」を「証明」するのはとっても大変なんですよね。

原理的に無理ですよね。...う〜む...

>例えば佐名木さんに Web アプリケーション脆弱性の監査を依頼し
>たとして「これで完璧ですか?」と聞かれると困りませんか?
># 現段階では〜とか補助的な言葉を付けるのは無し B-)

確かに...

>個人的には、個別のパーツ毎でセキュアにするという前提はむろん
>大切ですが、Incident Responce の体制を考慮し「完璧」とは思わ
>ない方がよい、ということが言いたいだけです ;)

確かに、セキュリティの営業さんとかのプレゼンでも
「完全な..」とか「完璧な...」とかって言った瞬間に怪しいと自分でも思います。

一方、セキュリティ・ホールの数は、日常的に増えていますが、
セキュリティ・ホールの種類数は、それほど急激な増加はないかな...と
# 未だにメインはバッファ・オーバーフローだし...
# ソースコード・レビューとかであれば、ホールの種類数が増えない限り、
# 「(人間的尺度で)安全である」と言い切れるような言い切れないような...

>ps
>余談になりますが、従来“脆弱性に関する情報”は詳細まで公開さ
>れる傾向にありましたが、今後それらの情報が抑制され“未知”と
>いうか“オブラートにつつまれたような脆弱性報告”が増えるので
>はないかと感じています。
>そうすると、監査とかする方は大変ですよね...

現状でも大変です。
というか、さらにバージョン隠す客もあり〜の....
バージョン番号から、このような脆弱性があります。と言えない今日この頃...
# とはいっても、私のメインは Web アプリなので、あまり関係ないっちゃないんですが...

以上、よろしくお願いします

2003-10/3(金) 11:50:32 作成開始

 -----------------------------------------------------
 佐名木 智貴(Tomoki Sanaki) 
    E-mail=active@xxxxxxxxxxxxxxxxxx
 PGP FingerPrint 
 = 34E5 2A31 45C8 2CB5 3CED  0B46 F328 A402 7182 DCC6