home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / ssh / ssh-minutes-96jun.txt < prev    next >
Encoding:
Text File  |  1996-10-07  |  6.9 KB  |  167 lines
  1. Editor's note:  These minutes have not been edited.
  2.  
  3.  
  4. SSH Working Group Minutes
  5. June, 1996 IETF
  6. Montreal, Canada
  7.  
  8. Prepared by: Phil Nesser, Barbara Fraser 
  9.  
  10. The working group met once during this IETF. The time was split 
  11. between review of the current Site Security Handbook draft and the 
  12. new draft of the User Security Handbook.
  13.  
  14. I. Review of current Site Security Handbook Internet Draft 
  15.  
  16. The group discussed a number of outstanding issues and came to closure 
  17. on them:
  18.  
  19. 1. Internal References: Do we want to make these work? 
  20. There was no strong feeling one way or the other. It was mentioned that 
  21. reviewers for each chapter might take this on as they review chapters, 
  22. but there will be no requirement to do so.
  23.  
  24. 2. Tool List: byf alphabatized and fixed capitalization of the list. 
  25. The list seems a little weak and contains mostly UNIX tools. However, 
  26. there were no suggestions for other tools to be added so the list will 
  27. stand as it is.
  28.  
  29. 3. Document Index:
  30. Gary Malkin will create an index for the document after the final 
  31. version has passed all the IESG hurdles. 
  32.  
  33. 4. Section 3.2.3.5: Is it okay or not to co-locate ftp & www on the same 
  34. server?
  35. We agreed to strike the sentence about it being okay since its not! We 
  36. will add a pointer to the earlier text about why its bad (3.1.4). 
  37.  
  38. 5. 4.6.2 Jim Galvin had some comments about audits and where the data 
  39. is kept, like WORM drives, online, printers, etc. He suggests a dual 
  40. approach. Should we make this suggestion?
  41. Nobody felt strongly that this was needed, so no changes will be made. 
  42.  
  43. 6. Annotated Bibliography: It takes up 1/3 of the document. Should we 
  44. take out the annotation version, leave the references in and publish it 
  45. as a separate RFC.
  46.  
  47. We decided to consult with Joyce to see where it should be published. It 
  48. was generally agreed that we'd leave the alphabetical listing in the 
  49. document, but pull out the annotated list and publish it separately. We 
  50. will consult Joyce as to the right vehicle, but the group felt it would 
  51. make a good informational rfc (and FYI?). 
  52.  
  53. 7. There was a comment about the quantity of legalese and the US-
  54. centric nature of it. The group has tried, all along, to make the 
  55. document as universally applicable as possible and many, if not all, of 
  56. the references about specific agencies have been removed. Much of the 
  57. language that remains pertains to "seeking legal advice" which may or 
  58. may not be appropriate in all countries. We decided we needed someone 
  59. to carefully review the entire document for legalese and Eric Luiijf 
  60. (luiigf@fel.tno.nl) volunteered to do this.
  61.  
  62. 8. Gary wants to remove text from 5.2.2 "There are many ..." and the 
  63. four little things that follows since it is redundant many times over. It 
  64. will be gone over by Erik while he's reading for the legalese. 
  65.  
  66. 9. In section 3.2.3.5 there needs to be section about Web clients. 
  67. Phil Nesser will write it.
  68.  
  69. 10. 4.5.4 Missing a section on ISDN?
  70. The group decided it had been covered adequately. 
  71.  
  72. The group discussed the schedule of the remaining work. We will 
  73. review chapters carefully and submit comments to the list so that 
  74. Barbara can incorporate the changes. The following are the reviewers: 
  75.  
  76. Intro    Nic Strauss
  77. Sec. Policies    Phil Nesser (pjnesser@maritgny.ai.mit.edu)
  78. Architecture    Lorna Leong (+ DNS Security) (lorna@singnet.com.sg)
  79. Sec. Services & Procs Steve Glass (glass@ftp.com) Sec. Incident 
  80. Handling Eric Luiijf - legal aspects (luiijf@fel.tno.nl) 
  81. Marijke Kaat (marijke.kaat@sec.nl)
  82. Ongoing Activities    Tom Killalea
  83. Tools & Locations
  84. Mailing Lists
  85. References    Jules Aronson (aronson@nlm.nih.gov)
  86. Annotated Bibliography
  87.  
  88. Due date of August 1, 1996 for reviews.
  89.  
  90. BYF will have final draft to Joyce by 9/1 for last call. 
  91.  
  92. BYF will add a disclaimer to the Bibliography saying that not all 
  93. references available in all countries.
  94.  
  95. II. Review of User Security Handbook draft 
  96.  
  97. We reviewed the outline that we had established at the last meeting 
  98. and everyone was still happy with it. A few minor changes were made. 
  99. It was suggested that we might need a very short, one or two page 
  100. checklist/tips at the front of the document, something like "The N 
  101. Commandments...". There was discussion and it remains an open issue. 
  102. We don't want readers to skip the meat of the document yet we don't 
  103. want them to be turned off by a long techie document.
  104.  
  105. Specific Changes that were recommended:
  106.  
  107. 1. Change "Security Policy" to "READ.ME" 2. Change "Security 
  108. Procedures" to "Just Do It" 3. Change "Incident Handling" to "Bad 
  109. Things Happen" 4. Switch the order of chapters 6 and 7. 5. Add a 
  110. security considerations section. 
  111.  
  112. Some general comments:
  113.  
  114. 1. Security Policy section may be too heavy handed - should be more 
  115. like section 6.
  116. 2. We need to balance too many words vs cryptic bulleted lists 3. It was 
  117. suggested that we add a section "Who Cares?" to replace the more 
  118. formal-sounding "Introduction".
  119. 4. We agreed that we still want to include anecdotal stories for each 
  120. section and Gary will send a note to the IETF list soliciting stories. 5. 
  121. We discussed structuring chapter 7 to go from most common applications 
  122. to least common applications so the general user gets what he needs 
  123. quickly.
  124. 6. It was suggested that we move the section about ISPs up front right 
  125. after the horror story. Here's the new order: 
  126. 7.1 Horror Story
  127. 7.2 What to know about your ISP
  128. 7.3 Email
  129. 7.4 Don't get caught in the web
  130. 7.5 Perils of downloading
  131. 7.6 What program is this anyway?
  132. 7.7 Remote login
  133. 7.8 Beware of Daemons
  134.  
  135. Some content additions:
  136.  
  137. 1. point out that users should always check login messages (last logged 
  138. in on ...). "Where were you the last time someone logged in"??? 2. add a 
  139. sentence in 6.1 for "poor performance". 3. add caveats about appearance 
  140. and disappearance of files. 4. remove the word "system" in 6.1
  141. 5. There was discussion that sometimes a user will be using a system 
  142. that he/she owns but other times the user will be using a system 
  143. managed by a system administrator. The advice we give needs to reflect 
  144. those two distinct situations. It was suggested that we add a navigation 
  145. aid like "If you are responsible for your machine then read on, 
  146. otherwise contact who you need to contact".
  147. 6. This brought up another point. We need to add some text up front to 
  148. help the user discover "who they need to contact". 7. add text up front 
  149. about how to use the document. 8. get rid of the little paragraph at the 
  150. beginning of chapter 7, and then put simple titles on the sections.
  151.  
  152. Finally, we signed up to write various pieces of the document. Barb's off 
  153. the hook until the other document is completed. Writing assignments 
  154. will be due by Septenber 1, 1996.
  155.  
  156. 0. Who Cares    Gary Malkin(gmalking@xylogics.com)
  157. 1. The N. Commandments (open)
  158. 2. READ.ME    Gary Malkin(gmalking@xylogics.com)
  159. 3. Just Do IT    Jonathan Pullen (sheet@access.digex.net)
  160. 4. Paranoia is Good    Lorna Long (lorna@singnet.com.sg)
  161. 5. The Wires Have Ears Steve Glass (glass@ftp.com) 6.,7.    Erik 
  162. Guttman
  163.  
  164. *note: "Paranoia is Good" will be able social engineering. 
  165.  
  166. We plan one meeting at the next IETF meeting.
  167.