パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済)」記事へのコメント

  • タレコミ人です。この件は、タレ込んだ後にBUGTRAQの方で進展がありました。その 進展を踏まえた補足を日記に書いておきました [srad.jp]。

    ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?

    タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、

    ...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略)
    which inform him

    • ちなみに同メンテナは、 以前書いたように [srad.jp]、XSS脆弱性を指摘されたときにも、 「これはバグではあるが、exploitが無いので、脆弱性ではない。」と誤った反論をしていたことがあります。

      一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる

      • by Anonymous Coward
        粘着して叩いてる暇があったら仕事しろよ。
        それとも仮名で叩くのがAISTの仕事か?

        そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
        今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!

        問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒

        • 誤解があるようですが、私は叩くということをしていません。

          今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?

          誤入力ではなく一度変更している場合です。再び元に戻している場合には、変更が必要です。また、他のサイトで同じパスワードを使用している場合にも警戒が必要で、これらのことは知らされるべきです。

          それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!

          パスワードによっては短時間で復元されることがあります。

          問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、

          私は問題を見つけたのではありません。

          • 誤解があるようですが、私は叩くということをしていません。

            あなたは他人の痛みがわからない人なんですね。

            また、他のサイトで同じパスワードを使用している場合にも警戒が必要で

            「MD5値からパスワードを復元できる」という前提が成り立てばその通りですが、そういう前提は成り立ちません。

            パスワードによっては短時間で復元されることがあります。

            は?何言ってるんですか?
            類推可能なパスワードをMD5して該当MD5値と一致したら「復元された」と言ってますか?
            それはMD5値を復元したのではなく、類推したパスワードをMD5値で検証しただけ

            • 「MD5値からパスワードを復元できる」という前提が成り立てばその通りですが、そういう前提は成り立ちません。

              あなたの用語の使い方に従えば、それは間違いですね。 MD5値からパスワードを「検証」できるという前提が成り立てば「その通り」であるわけで、その前提は成り立ち得ます。

              は?何言ってるんですか? 類推可能なパスワードをMD5して該当MD5値と一致したら「復元された」と言ってますか?

              上に書いたとおりです。それを広い意味で「復元」と呼ぶか、狭い意味で「検証」と呼ぶか、用語の使い方次第です。

              パスワードが類推可能なのであれば、ターゲットへ類推

              • もしかしてあなたはいわゆる辞書攻撃というものをご存じないのでしょうか?

                もしかして私バカにされてるんだろうか?
                まぁACだからいいけど。

                私は、MD5値が漏れる事=パスワードが漏れる事、という論理が飛躍しすぎていると言ってるのであって、辞書攻撃で解読されてしまう程度のパスワードはユーザのパスワード管理の問題だと思います。

                そもそも、MD5値が漏れるのが「パスワード漏洩の脆弱性」と言うのであれば、APOPも「パスワード漏洩の脆弱性」を抱えている事になりますね。
                SlashcodeにAPOP以上のセキュリティを求めるあなたのバランス感覚がおかしいとは思いませんか?

              • もしかして私バカにされてるんだろうか?

                ご存じない(失念を含む)からとしか、あり得ないご発言があった(「ターゲットへパスワードを入れてみれば検証できます」の部分がそれに該当)ため、そのように書いたしだいです。違いますか?

                辞書攻撃で解読されてしまう程度のパスワードはユーザのパスワード管理の問題だと思います。

                最近の辞書攻撃の能力はかなりのものがありますが、それに絶えうるパスワードをつけている人がどれくらいいるかということと、いずれにしても、だからといってチャラになる話ではないでしょう。

                私は、MD5値が漏れる事=パスワードが漏れる事

              • スラッシュドットへのログインに関しては、MD5値が漏れることとパスワードが漏れることは同等です。

                同等の効果が得られても同じ事ではありませんね。
                指摘する側が、そういう「センセーショナルな嘘(というか誇大表現)」をするから反発を受けるのでは?

                アカウントが乗っ取られることを一般読者にわかるようにパスワードが漏れたと表現しまし

              • なぜ「パスワードが漏れるリスク」というセンセーショナルな誇大表現をしますか?

                センセーショナルでも誇大でもありません。なぜなら、

                • もし、そのパスワードがスラッシュドットだけで使っているものなのなら、MD5値が漏れることとそのパスワードが漏れることは完
              • by Anonymous Coward on 2002年09月25日 1時26分 (#171520)
                もし、そのパスワードがスラッシュドットだけで使っているものなのなら、MD5値が漏れることとそのパスワードが漏れることは完全に同等です。
                だから「同等でも同じものじゃない」でしょ。
                なぜ「アカウント乗っ取りのリスク」という正確な表現ができるのに、「パスワード漏洩のリスク」という似ているけど嘘の表現をしますか?
                もし、そのパスワードがスラッシュドット以外でも使っているものなのなら、辞書攻撃によるパスワード解読の危険性についても触れる必要があるので、「アカウント乗っ取り」というタイトルでは不十分です。
                あなたは「触れる必要がある」程度のものをタイトルに付けるのですね。
                あなたのタレコミや書き込みは「目を引き付けられればいい」という東スポ程度のものなんですね?
                親コメント
              • > あなたは「触れる必要がある」程度のものをタイトルに付けるのですね。
                一ユーザーの感想としては、
                「触れる必要がある」程度には思えないんですが・・・。

                それに、発言の中身が、明らかに少しずつズレていっています。
                問題のすりかえをしようとしているのも、明らかにあなた自身ですし。
              • だから「同等でも同じものじゃない」でしょ。
                同等ですし同じものです。(あなたの、その「同じもの」という言葉の使い方には、どのような意義があるのですか?)
                なぜ「アカウント乗っ取りのリスク」という正確な表現ができるのに、「パスワード漏洩のリスク」という似ているけど嘘の表現をしますか?
                同じものなのですから、正確な表現ですし、ましてや嘘の表現ではありません。
                どこが同じでないのですか?つまり、 スラッシュドットだけにしかそのパスワードを使わない人にとって、 「アカウントを乗っ取られる」と説明されるのと「パスワードが漏れる」と説明されるのとで、理解する内容において何が違いますか?そして、その違いを認識することにどのような意義がありますか?

                それどころか、むしろ、「アカウントを乗っ取られる」というタイトルでは、「セッションIDの漏洩が原因」と解釈される方が普通(世の中ではそのようなセキュリティホール(セッションID漏洩によるアカウント乗っ取り)が大半を占める)ですから、それでは危険度を低めに説明してしまう(セッションIDは使い捨てなので時間が経っていると乗っ取れないという点で脅威の現実性が低めになる)不適切なタイトルになってしまいます。

                つまり、この種の話題の伝達で正確さを期すには、できるだけ結果よりも原因に近い部分を説明するのが適切です。結果の方を書くと、その結果がもたらされる現実性の高さの情報が失われてしまいがちです。 しかし、原因に近い部分というのは、より技術的な説明となりがちなので、一般利用者にわかる範囲で最も原因に近い部分を示すことになります。これがこの種の話題の伝達の際にタイトルに選ぶべきポイントです。

                さらに言えば、タレコミではタイトルは「Slashcodeが一部ユーザのパスワードを漏らす」としていました。(「…リスク」という表現は編集担当者によるものです。) これは、パスワード(のMD5値)が実際に私のサーバに漏れてきていた事実を伝えることが、このタレコミの重要な要点のひとつであったからです。

                あなたは「触れる必要がある」程度のものをタイトルに付けるのですね。
                当然ですね。タイトルで触れる必要があるものなのですから、タイトルに付けるのは当然としか言いようがない。
                親コメント
              • どこが同じでないのですか?つまり、スラッシュドットだけにしかそのパスワードを使わない人にとって、「アカウントを乗っ取られる」と説明されるのと「パスワードが漏れる」と説明されるのとで、理解する内容において何が違いますか?そして、その違いを認識することにどのような意義がありますか?

                パスワードをたとえば「foo1234」としている人がいたとして、「foo1234

              • 他で使っているパスワードを知る大きな手がかりを与える事になります。
                「スラッシュドットだけにしかそのパスワードを使わない人にとって」と書いてるのが見えませんか?
                親コメント
              • だからさぁ固定文字列+いくつかの文字列というパスワードの付け方してる人って結構多いのよ。
                だから、その固定文字列部分が知られちゃうと、他で/.と違うパスワード付けてても類推できる確率が段違いに上がるでしょ。
                そういう付け方をしてる人がいるっていう実例はこのへん [srad.jp]見れ
              • そう。そのような場合があるので、まさに、「アカウントが乗っ取られる」ではなく「パスワードが漏れる」とした必然性があるわけです。
                親コメント
              • だからさぁ、APOPとかでMD5でハッシュされた値は生パスワードと同値ではなく、一定のセキュリティを備えているという了解があるでしょ。
                それなのに、あなたは生パスワードの漏洩とMD5値の漏洩は同値であると主張してる。
                くだらない言い訳を聞きたくないからあらかじめ書いとくけど、ここで言ってるのは/.にログインできてしまうというMD5値そのもので発生する脆弱性の事じゃなくてMD5値で生パスワードが漏洩するという事だけに付いて議論してるんだからね。

                で、APOPでも一定のセキュリティ機構として(暗黙の)了解されているMD5ハッシュが、何でSlashcodeに限って

              • 激しくループ中(w
              • APOPは毎回ハッシュ値が変わるけどslashcodeは変わらない
                だからハッシュ値が漏れただけでログインできるんだろ

                APOPとは全然違うことがわかってねーのか
                もしかして,APOPを知らずに言ってる?
              • ちゃんと嫁
                くだらない言い訳を聞きたくないからあらかじめ書いとくけど、ここで言ってるのは/.にログインできてしまうというMD5値そのもので発生する脆弱性の事じゃなくてMD5値で生パスワードが漏洩するという事だけに付いて議論してるんだからね。
              • あなたは生パスワードの漏洩とMD5値の漏洩は同値であると主張してる
                そのような主張は一度もしていません。なぜなら、
                MD5値で生パスワードが漏洩するという事だけに付いて議論してるんだからね
                そのような議論をしていないからです。
                親コメント
              • #171269から一連の議論(と勝手に私が思っていたもの)をしていたACです。
                はっきり言って脱力しました。
                私は最初の#171269から一貫してMD5値が漏れただけなのに「パスワードが漏れた」と表現するのは誇大だという話をしてた(つもりだった)のに...
              • >そのような主張は一度もしていません。なぜなら、
                >そのような議論をしていないからです。

                名言だね~。
                僕も使わせて貰うことにするよ(笑
              • パスワードのMD5値が「Refererから漏れた」事実があるから問題となっているのでは?
                生パスワードとは違うなんてことは当然誰もが理解しているでしょう。
                例えば/etc/shadowがWebサーバから見えるようになっていたとしても「MD5値だから針小棒大に騒ぐな」と言えますか?

                #jbeef氏ではないのでAC
              • > MD5値が漏れただけなのに「パスワードが漏れた」と表現するのは誇大だ
                という主張と、
                > MD5値とパスワードの区別も付かないヤツ
                という 同値 でない結論(感想)を、
                いかにも 同値 であるかのように扱う理由を教えてください。
              • 例えば/etc/shadowがWebサーバから見えるようになっていたとしても「MD5値だから針小棒大に騒ぐな」と言えますか?

                その告知を「/etc/shadowが漏れた」あるいは「パスワードのMD5値が漏れた」という表現でするのであれば正当と思いますが、「

              • /etc/shadow が漏れたとき、辞書攻撃なしに、不正ログインすることはできませんが、
                スラッシュドットの場合は、辞書攻撃なしに、不正ログインことが出来ます。
                全く違う話です。
                親コメント
              • #172257のACさんが提示した(今回の件とは別の)ある状況の「例」だと「どう思うか?」という問いかけに対して、#172438のACさんは「私はそういう状況だとこう考える」という答えをしているのに、なぜ今回の件に強引に結びつけようとしますか?
                自分が中心にいないと満足できない構って君?
              • jbeefってもともとそういう奴だ。
                (本人に自覚がないらしいので始末におえない。)

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...