アカウント名:
パスワード:
ビルド番号がWindows10でもなければWindows11でもないのはマーケティング上大丈夫なのか心配。ビルド番号が同一であることでアプリケーションとの互換性を重視してきたのが売りだったはずなのにね。TPMとかセキュリティ面はまだ選択式ではあるけど思いっきりWindows11に寄せてきたのだったらWindows11ベースにすればよかったのに、そのほかの部分がWindows10ベースなのでこうなったのかも知らんが、どうにかならなかったのか?(もしかして22H1予定のものに合わせている?)
あと、SMB over QUICは確かに時流ではあるんだが、想定されているユースケースがヤバいので純粋にやめてくれ、何でもかんでもPort443に乗せるな。最近なんでもPort443に乗せてくるので信頼値が駄々下がり。
逆に信頼できるPort番号あるの?
等しく信頼できないけど、昨今の443は80以上にさらにマイナス方面に掘っていっている状態。しかもQUICという共通プロトコルでその上にいろんなプロトコルが乗るからより質が悪い。ゲートウェイセキュリティの観点から見たら単なる悪夢。正直ソフトイーサ黎明期の再来に近い。まだSSL-VPNの方がHTTPSを偽装してくれる分可愛い。
でも本当の問題は、443という字面が一般認識が長年のHTTPSの実績?で「信頼できるポート番号」として確立してしまっていること。今のところTCPとUDPという差があるにはあるんだけど、HTTP/3として承認された結果解放せざるを得ない方向だし微妙。
Webから出てくるアプリケーション層の新規格って、常に「土管から逃げる新方式」のような。本当の問題はpaternalisticな土管屋とアナーキーなWeb屋の戦いにおいて戦況がかなりWeb側有利なことではないかと。
# 他人が設定するFWに恩恵を感じないのでID
何でもかんでもPort443に乗せるな。
とかいって自分用ではPortずらしたover ssh鍵認証が大好きなくせに
# 自宅鯖とかで便利なのよねぇ
残念、アクセスしたい機器・サーバー構成の関係でSSHは好きじゃないのよ。むしろ本来いらないSSHサーバーが必要になるので嫌い。携帯データ用回線も固定IP持ちなので、自宅でそんなことするぐらいなら普通にIPsec+RADIUSで証明書認証で入る。
>ビルド番号が同一であることでアプリケーションとの互換性を重視してきたのが売りだったはずなのにね。
この話初めて聞いたんだが、ソースあるの?
はいhttps://ascii.jp/elem/000/000/640/640438/ [ascii.jp]https://active.nikkeibp.co.jp/atclact/active/15/022500181/112800018/ [nikkeibp.co.jp]
ん?ビルド番号の意味がわかってない?
ん?ビルド番号もそろってますよ?
XPとServer2003はビルド番号どころかマイナーバージョンすら違ってたけど大きい問題起きてたんだっけ
XPと2003だと発売日のずれによって、その間に起きたセキュリティの考え方の転換(XPだとSP1からSP2の間に当たる)から搭載モジュールを変えざるを得なくなり、結果別OSとしてセキュリティを含めた検証が必要だったのが嫌われたっぼい。その他細かいところでいうと搭載されているIISのバージョンが違ったりしてる。
その後のVista/2008以降はどちらかにしか積んでない機能以外はモジュールやパッチが共通だから、OSレベルの脆弱性発見から修正も迅速に出来るし、クライアントOSで開発して、ポン付けでそのままサーバーOSで動作させやすかったり、(逆も然り)初期搭載されているグループポリシーモジュールがそのバージョンのクライアントOSと合致している等、管理面でも利点があった。
でも、今回またズレることによって特にWindows11とのずれが発生するから、立場は逆だけどXPと2003のような関係になる。もしかしたら2025で再統一するまでのつなぎなのかもしれないけどね。
そうだね。SMB over QUICってUCP 445使うんだろうと思っていたら、443でびっくりした。
むしろ企業を中心としたファイヤウォールがユーザ体験を阻害することばかりやるから制御困難な443に何でも載せていったという経緯。
情シス担当者が考える「セキュリティ」なんて真に受けてたらクラウドコンピューティングもビデオ会議も存在できなかった。というか変態的なファイヤウォールやクライアント管理に命賭けてる暇人が存在できてるのって日本企業だけだぞ。
なんか変な対抗意識が見えてますが、見えない敵と戦ってませんか?
まず、全うにHTTPSの通信として使ってくれる分にはいいんです。今どきのUTMは一度UTM側で暗号化解除して検査します。また、ビデオ会議は普通に別のポート使ってますよ。Web会議でも別のポート使ってますし、他のクラウド系だって別段ポート番号に縛られているものではない。SMB over QUICも自体仕組み自体が問題ではなく、むしろネットワーク上の遅延が大きい拠点間では歓迎されるべき変更で、その中で、・実装:QUIC自体はポート番号の規定はないので、UDP445を使えばいいところをなぜかUDP443・想定ユースケース:VPNなしで(Windows Server独自に穴をあけて)SMBでファイル交換という見えている地雷が問題なだけです。
(参考)主要なビデオ/Web会議システムの使用ポート番号【ビデオ会議】 Polycomビデオ会議 [polycom.com] SONYビデオ会議 [support.sony.jp] 【Web会議】 ZOOM [support.zoom.us]
擁護するわけではないが、インターネット越しにファイル交換という点だけは、今までもSMB3のAES暗号化を使ってあり得ることだった。たとえばAzureのファイルストレージ(Azure Files)でインターネットからのアクセスを禁止しないとそうなる。もちろんTCP 445なので、封じるのも容易だったけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
Windows10でも11でもないし、Port443がどんどん信用できなくなる。 (スコア:0)
ビルド番号がWindows10でもなければWindows11でもないのはマーケティング上大丈夫なのか心配。
ビルド番号が同一であることでアプリケーションとの互換性を重視してきたのが売りだったはずなのにね。
TPMとかセキュリティ面はまだ選択式ではあるけど思いっきりWindows11に寄せてきたのだったらWindows11ベースにすればよかったのに、
そのほかの部分がWindows10ベースなのでこうなったのかも知らんが、どうにかならなかったのか?
(もしかして22H1予定のものに合わせている?)
あと、SMB over QUICは確かに時流ではあるんだが、想定されているユースケースがヤバいので純粋にやめてくれ、何でもかんでもPort443に乗せるな。
最近なんでもPort443に乗せてくるので信頼値が駄々下がり。
Re:Windows10でも11でもないし、Port443がどんどん信用できなくなる。 (スコア:1)
逆に信頼できるPort番号あるの?
Re: (スコア:0)
等しく信頼できないけど、昨今の443は80以上にさらにマイナス方面に掘っていっている状態。
しかもQUICという共通プロトコルでその上にいろんなプロトコルが乗るからより質が悪い。
ゲートウェイセキュリティの観点から見たら単なる悪夢。正直ソフトイーサ黎明期の再来に近い。
まだSSL-VPNの方がHTTPSを偽装してくれる分可愛い。
でも本当の問題は、443という字面が一般認識が長年のHTTPSの実績?で「信頼できるポート番号」として確立してしまっていること。
今のところTCPとUDPという差があるにはあるんだけど、HTTP/3として承認された結果解放せざるを得ない方向だし微妙。
Re:Windows10でも11でもないし、Port443がどんどん信用できなくなる。 (スコア:2)
Webから出てくるアプリケーション層の新規格って、常に「土管から逃げる新方式」のような。本当の問題はpaternalisticな土管屋とアナーキーなWeb屋の戦いにおいて戦況がかなりWeb側有利なことではないかと。
# 他人が設定するFWに恩恵を感じないのでID
Re: (スコア:0)
何でもかんでもPort443に乗せるな。
とかいって自分用ではPortずらしたover ssh鍵認証が大好きなくせに
# 自宅鯖とかで便利なのよねぇ
Re: (スコア:0)
残念、アクセスしたい機器・サーバー構成の関係でSSHは好きじゃないのよ。むしろ本来いらないSSHサーバーが必要になるので嫌い。
携帯データ用回線も固定IP持ちなので、自宅でそんなことするぐらいなら普通にIPsec+RADIUSで証明書認証で入る。
Re: (スコア:0)
>ビルド番号が同一であることでアプリケーションとの互換性を重視してきたのが売りだったはずなのにね。
この話初めて聞いたんだが、ソースあるの?
Re: (スコア:0)
はい
https://ascii.jp/elem/000/000/640/640438/ [ascii.jp]
https://active.nikkeibp.co.jp/atclact/active/15/022500181/112800018/ [nikkeibp.co.jp]
Re: (スコア:0)
ん?ビルド番号の意味がわかってない?
Re: (スコア:0)
ん?ビルド番号もそろってますよ?
Re: (スコア:0)
XPとServer2003はビルド番号どころかマイナーバージョンすら違ってたけど
大きい問題起きてたんだっけ
Re: (スコア:0)
XPと2003だと発売日のずれによって、その間に起きたセキュリティの考え方の転換(XPだとSP1からSP2の間に当たる)から搭載モジュールを変えざるを得なくなり、
結果別OSとしてセキュリティを含めた検証が必要だったのが嫌われたっぼい。
その他細かいところでいうと搭載されているIISのバージョンが違ったりしてる。
その後のVista/2008以降はどちらかにしか積んでない機能以外はモジュールやパッチが共通だから、OSレベルの脆弱性発見から修正も迅速に出来るし、
クライアントOSで開発して、ポン付けでそのままサーバーOSで動作させやすかったり、(逆も然り)
初期搭載されているグループポリシーモジュールがそのバージョンのクライアントOSと合致している等、管理面でも利点があった。
でも、今回またズレることによって特にWindows11とのずれが発生するから、立場は逆だけどXPと2003のような関係になる。
もしかしたら2025で再統一するまでのつなぎなのかもしれないけどね。
Re: (スコア:0)
そうだね。SMB over QUICってUCP 445使うんだろうと思っていたら、443でびっくりした。
Re: (スコア:0)
むしろ企業を中心としたファイヤウォールがユーザ体験を阻害することばかりやるから制御困難な443に何でも載せていったという経緯。
情シス担当者が考える「セキュリティ」なんて真に受けてたらクラウドコンピューティングもビデオ会議も存在できなかった。
というか変態的なファイヤウォールやクライアント管理に命賭けてる暇人が存在できてるのって日本企業だけだぞ。
Re: (スコア:0)
なんか変な対抗意識が見えてますが、見えない敵と戦ってませんか?
まず、全うにHTTPSの通信として使ってくれる分にはいいんです。今どきのUTMは一度UTM側で暗号化解除して検査します。
また、ビデオ会議は普通に別のポート使ってますよ。Web会議でも別のポート使ってますし、他のクラウド系だって別段ポート番号に縛られているものではない。
SMB over QUICも自体仕組み自体が問題ではなく、むしろネットワーク上の遅延が大きい拠点間では歓迎されるべき変更で、その中で、
・実装:QUIC自体はポート番号の規定はないので、UDP445を使えばいいところをなぜかUDP443
・想定ユースケース:VPNなしで(Windows Server独自に穴をあけて)SMBでファイル交換という見えている地雷
が問題なだけです。
(参考)主要なビデオ/Web会議システムの使用ポート番号
【ビデオ会議】
Polycomビデオ会議 [polycom.com]
SONYビデオ会議 [support.sony.jp]
【Web会議】
ZOOM [support.zoom.us]
Re: (スコア:0)
擁護するわけではないが、インターネット越しにファイル交換という点だけは、今までもSMB3のAES暗号化を使ってあり得ることだった。たとえばAzureのファイルストレージ(Azure Files)でインターネットからのアクセスを禁止しないとそうなる。もちろんTCP 445なので、封じるのも容易だったけど。