From: kjm@rins.ryukoku.ac.jp (KOJIMA Hajime / =?ISO-2022-JP?B?GyRCPi5FZ0glGyhC?=)
Newsgroups: fj.comp.security,fj.net.www.browsers
Subject: Re: [Q]=?ISO-2022-JP?B?GyRCJVYlaSUmJTYkKyRpJVIlOSVIJWobKEI=?=
	=?ISO-2022-JP?B?GyRCITwkLE8zJGwkRiQkJGshKRsoQg==?=
Followup-To: fj.comp.security
Date: 20 Sep 2000 07:34:20 GMT
Organization: ryukoku Univ., Seta Kyoto Japan
Lines: 72
Message-ID: <8q9p9s$i88$1@rnws.ryukoku.ac.jp>
References: <sfe3diykpvb.fsf@jbeef.etl.go.jp>
	<8q5nv9$n2m$1@news.tcn.ne.jp>
	<sfezol4ik7n.fsf@jbeef.etl.go.jp>
	<8q89m9$214p$1@news.tcn.ne.jp>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Xref: rnws fj.comp.security:863 fj.net.www.browsers:646

  Followup-To: fj.comp.security

fj.comp.security,fj.net.www.browsers の
<8q89m9$214p$1@news.tcn.ne.jp> の記事において
kisimoto@mb.tcn.ne.jpさんは書きました:
| 問題の存在を知らしめるのが目的なら、その問題を記述した電子メ                   
| ールを、(チェーンメールになってでも) できるだけ多数の人に送                   
| 信すれば、その目的は達成できますよね。                                         

  これはまた極論ですねえ。わかって書いていらっしゃるのでしょうけれど。

| 私には、高木さんの一連の行動、とくに Netscape 開発チームや各
| 種ユーザ団体に対してとっている行動が、政治的なパフォーマンス
| を含んでいると感じられます。
 
  「政治的なパフォーマンス」って、なんですか?
 
| そのために、高木さんの行動に説得力を持たせるために、その根拠
| である「Brown Orifice の危険性」を、実際よりもずっと誇張して
| いるのではないか、という疑念を感じているのです。
| 
| 技術的には可能だが、実際にはまず起こり得ないようなことでも、
| それが必ず起こるのだと喧伝している、という部分があるのではな
| いか、とさえ思ってしまうのです。

  もっときつい攻撃デモプログラムがついていないと、脅威の存在を実感でき
  ないということかしらん。たとえば、

* 実際に local computer 内部のファイルをごっそり取得して etl.go.jp に
  送ってしまうデモ 
* 実際にイントラネット上のコンテンツを取得して etl.go.jp に送ってしまう
  デモ
* 訪れると「ほほぅ、ここにくるまでにこんなところに寄っていたんですかあ
  hehehe」とヒストリを表示するデモ
* amazon.com とかに実際に order してしまうデモ

  なんてのがあれば、わかりやすいですか?

----

  私はどちらかというとイケイケな人なのですが、高木さんはそうではなく

* そのまま攻撃に使えてしまうような危険なデモは、可能な限り公開したくない
* すぐコードにできてしまうような具体的攻撃手法も、できれば書きたくない
* 危険性の存在は知らせたい、それもなるべくわかりやすく

  を両立させようと腐心されているように思っています。特に 3. とか。

  また、『[JavaHouse-Brewers:36131] Netscape 4.74「Brown Orifice」セキュ
  リティ・ホール問題に関するまとめ』自体では、技術に詳しくない一般の人
  を意識している事もあって、ガチガチな技術詳細はあえて記述していないと
  私は理解しています。しかしその事が逆に、疑念を抱かせてしまっているの
  かな、という気はします。もっとも、これは関連リンクをちゃんと読めばい
  いだけの話のはずなんですが。

<http://java-house.etl.go.jp/ml/archive/j-h-b/036131.html>

  リスク評価について言えば、各組織各個人でセキュリティポリシーが異なる
  以上、それは結局個々に判断するしかないわけで。岸本さんにとって問題な
  いのなら、それをどういう言うつもりは私にはありません。
  
  ただし、警告する側から見れば、それが実際に各自の環境でリスクとなるか
  どうかを判断してもらうためにも、可能性があればそれを列挙するのは当然
  だと思うのですが。それとも、「危険がある。fix patch を適用せよ」とだ
  け書いた方がいいのでしょうか?

----
// 木下是雄「理科系の作文技術」中公新書 624 を読もう!!

小島 肇 - KOJIMA Hajime
[Office] kjm@rins.ryukoku.ac.jp, http://www.st.ryukoku.ac.jp/~kjm/
         Phone: 077-543-7414  Fax: 077-543-0706