2007-09-03 [長年日記]
_ 隠すことによるセキュリティの向上は望めない、が原則では?
スラッシュドット ジャパン | サーバのバージョンは隠すのが常識?
これはー。
隠すことによるセキュリティの向上は望めないことを自覚したうえでやってね
という話に尽きる気がする。
こういったサーバ情報をわざわざ表示する必要はありません。
というのはその通りなんだけど、タイトルの「5分でできるセキュリティ向上」には役に立っていないことは触れなくていいんだろか。
さらに言うと個人的にはこの手の話は
- バージョン情報を隠す/隠さない
- 最新のバージョンを使う/使わない
以外に、
- バージョンはそのままでパッチを当てる
という選択肢が存在していることがもっと広く知られてほしいという気がするかなぁ。意外にね「あー Apache のそのバージョンには脆弱性が云々…」てなことを「得意げに」言う人ほどその情報だけを鵜呑みにしてて、いや、パッチ当たってるんですけど、と軽く反論してみても全然聞いてなかったりするんですよね。そういうのって、本人は聞き流しちゃってるからなんともないでしょうけど、ハタから見てるとかなり恥ずかしいですよ。
あと .svn がどうたらというのはその前段階から対策取るのが本筋で、ステージングサーバから本番への反映の際にルールで弾けばいいような気がするんだけど、それじゃダメなのかな。rsync だろうが WinSCP だろうが exclude の設定はあるよ。そのうえでサーバ側で Deny するのはアリだと思うけど、Deny の設定はあくまでスタートに過ぎない気がする。.svn が誤って上がってる場合があるってことは *~ とかも上がってるよね、きっと。*~ は上がってなくても .1 とかは上がってるかもしんない。
/* 実際、昔引き継いだサーバはそんなんばっかだった。バージョン管理もしてないから .bak.old とか訳の分からないものだらけ。 */
その辺のプロセスを見直さないと、セキュリティの向上を謳うことはできないんじゃないかなぁ。
p.s. はてブコメントの「例えば PHP を使わない」に軽く吹いた。
_ Cperl-modeを使おうかどうしようか
気分転換に Cperl-mode で編集してみようと思ったらデフォルトの色の設定があんまり気持ち悪いのでビビってしまった。ソッコー perl-mode に戻す。
反転はさすがに使わないでくれ。
……。
あー。もしかしてコレ、変な色にならないように書いていればそれなりに行儀良く書けていると判断することもできるのか? んーなんか重たい感じがするなぁ。
[追記] M-x customize をあれこれ眺めてみた。色の設定はとりあえずいじってみたけど、perl-mode みたいに $ だけは色を変えないとか、コメントの中は全部赤とかにはできないのかな? 重さは Customize の中から細かく調整できそう。
あとは色に目が慣れればなんとかなるかもしんない。
Invalid Face っていう設定項目があるから、なんか他のツールと組み合わせるとおかしな部分をどぎつくハイライトさせて矯正、っていう使い方はできそうだな。やらないけど。
