パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済)」記事へのコメント

  • と考えてますけどなにか。
    所詮/.程度のサークル内で使うパスワードに対したものは使ってませんので、ココまでエキサイトしなきゃならない理由がピンと来ないでおります。
    自分としては基礎→プライバシー絡み→金絡みの順序で生成
    --
    〜後悔先に立たず・後悔役に立たず・後悔後を絶たず〜
    • by Anonymous Coward on 2002年09月25日 1時45分 (#171530)
      • パスワードを変更して
      • 変更前のブックマークからアクセスして
      • ログインできなかったにも関わらず、そのまま直しもせず
      • ほんの一日か二日で流れてしまうトップページにリンクがあり
      • そのリンクをクリックしてWebへアクセスし
      • そのサイトの管理者等リファラのログへアクセス可能な人が悪意を持っており
      • その悪意を実行するまでの間に旧パスワードへ戻す
      という多くの「仮定」をクリアしなきゃ実現しないような脆弱性を政府機関の人間がタレ込んでるからエキサイトしてるのでは?

      その上、

      • 辞書攻撃で破られる程度の脆弱なパスワードを付けており
      • リファラの付いたアクセスがどこの誰から行われたかを知り
      • どういった別のパスワードが必要なサービスを受けているかを知り
      • そのサービスで同じパスワードを使っている必要があり
      • その悪意の管理者がそのアカウントに侵入しようとする
      という、流れ星に当たるぐらい多くの悪条件が重なった場合にだけ起こる「パスワード漏洩のリスク」というのをタイトルに付けてるというのもあるかも。
      親コメント
      • > 政府機関の人間がタレ込んでるからエキサイトしてるのでは?

        > それとも仮名で叩くのがAISTの仕事か?

        から始まって

        > 匿名だろうが匿名じゃなかろうが、問題を問題と指摘して何が悪い?
        > ハンドルを名乗れば、自分をさらけ出すことになるのか?
        > そもそもハンドルっつーもの自体、自分自身の正体を明かしている
        > ことにはならんだろうに。
        > 昔の草の根BBSと違って、自分自身の住所や電話番号を登録しなきゃ
        > いかんシステムと違うんだろう? /.は。
        > 匿名とハンドルの違いがどこにある?

        こうくる、と。おもしろいなー。
        親コメント
      • という、流れ星に当たるぐらい多くの悪条件が重なった場合にだけ起こる「パスワード漏洩のリスク」
        タレコミ文を読まずに書いてませんか? 私のサーバで実際にそうしたRefererが見つかったと書いてあります。BUGTRAQへの報告者も複数の事例が見つかったと述べています。 つまり、
        • パスワードを変更して
        • 変更前のブックマークからアクセスして
        • ログインできなかったにも関わらず、そのまま直しもせず
        • ほんの一日か二日で流れてしまうトップページにリンクがあり
        • そのリンクをクリックしてWebへアクセスし
        ここまでが現実に起きたというタレコミですよ?

        私のサイトなど話題にされることは滅多にないのでアクセスも少なめですが、もっと頻繁にリンクされるサイトにはより高い確率でログに記録されていることでしょう。

        ちなみに、Googleで「"userlogin&upasswd="」を検索 [google.com] すると、こんなページ [geocrawler.com] などが見つかります。

        という、流れ星に当たるぐらい多くの悪条件が重なった場合にだけ起こる「パスワード漏洩のリスク」というのをタイトルに付けてるというのもあるかも。
        私の付けたタイトルには「のリスク」という言葉は入れていません。ずばり、「Slashcodeが一部ユーザのパスワードを漏らす」という、漏らした事実をタイトルとしました。
        親コメント
        • 私の付けたタイトルには「のリスク」という言葉は入れていません。ずばり、「Slashcodeが一部ユーザのパスワードを漏らす」という、漏らした事実をタイトルとしました。

          実際に生パスワードが

        • 私のサーバで実際にそうしたRefererが見つかったと書いてあります。
          「流れ星に当たる~」というのは(生)パスワードの漏洩の場合として元コメントは書かれていますが、リファラが見つかった程度ではまだ道半ばどころかやっと端緒に付いたばかりでは?
          流れ星で言えば「流れ星が大気圏に突入した」ぐらいの段階
          • by jbeef (1278) on 2002年09月25日 15時49分 (#171888) 日記
            流れ星で言えば「流れ星が大気圏に突入した」ぐらいの段階
            つまり、そのくらい現実的なこと、ということですね。
            親コメント
            • >つまり、そのくらい現実的なこと、ということですね。

              なんでもかんでも自分の主張の方向に持っていこうとするのは、みてて嫌悪感すら感じます。

              ということだから何?
              大気圏に突入する流れ星がどれくらいあり、更にその中で人(または自分)に危害を及ぼす可能性のあるものがどの程度あるかは知りませんが。

              推するに、私には関係ないレベルでしょう。「おそらく」しかし、それでまったく良いとは思いません。

              比較するものが全く違いますので一概にどうこうは言えませ
              • 元々ACさんの方から、流星がどうのと不適当なたとえ話を持ち出されて、攻撃されたのに対して、防衛をしていたのですが。そう見えないのはどうしてですか?
                親コメント
              • 粘着が居るな
              • >粘着が居るな

                あはは、このタレコミ初投稿((#171933)です。
                よろしく >#171934のACさん
              • #171888のACです。

                >元々ACさんの方から、流星がどうのと不適当なたとえ話を持ち出されて、攻撃されたのに対して、防衛をしていたのですが。そう見えないのはどうしてですか?

                んー。ちょっと私が悪いのか(^^; 確認させて頂きますね。

                あなたは、人と攻撃や防衛をしあいたくて、#171933を投稿し、タレコミをされたのですか?違うのであれば、別に防衛をする必要なんてないじゃないですか。問題を提訴し、それを論議(または一考)して貰いたいからタレコまれたのだと思っていました。

                人を否定し、従わせたいの
              • >#171888のACです。

                ↑#171933です。

                >#171933を投稿し

                ↑>#171888です。

                まったく逆でしたね…。失礼をお詫び申し上げます。
              • 要するにjbeefは手を差し出されたら必ず殴られると思う
                ヤツだって事だ。不適当だと自分が思うことを当然の事だ
                と思って、人が見えないことは人が悪いって事だ。

                そんな考えしかできないヤツがセキリュティ云々語るなよ(笑
              • あなたは、人と攻撃や防衛をしあいたくて、#171933を投稿し、タレコミをされたのですか?
                人を否定し、従わせたいのであれば、それは勘違いも甚だしいと思います。
                私は今、誹謗されていて、事実に基づく釈明をしているのですが、それをあなたは「人を否定し従わせている」と言うのですか?
                親コメント
              • 「攻撃」に続いて今度は「誹謗」と来たか
                もう「jbeefは放置」でいいんじゃないか?
                議論できるような相手じゃないよ
              • 「AIST」とか「政府機関の人間」とか書かれちゃったんでキレちゃったんでね?jbeefたん

                とりあえず「KNOPPIXのネタ [srad.jp]はリファラを収集するためにjbeefたんが別IDでタレ込んだのだ」という

              • >私は今、誹謗されていて、事実に基づく釈明をしているので
                >すが、それをあなたは「人を否定し従わせている」と言うので
                >すか?

                どうでもいいけど、ソースを示してね ;-)
                どれが誹謗で、どれが事実なのかわかりませんわ ;-)

                読み手だけが悪いと言わないでね、書き手も悪いのよ ;-)
              • どれが誹謗で、どれが事実なのかわかりませんわ ;-)
                誹謗:オレ様の意見に反対する書き込み
                事実:オレ様の書き込み

                と思われ

              • jbeef たん自身が早速アカウント乗っ取られてたりしてな。
                つーか、jbeef たんのアカウント乗っ取れたら楽しいだろうなー。
            • あなたにとっては「流れ星が大気圏に突入した」と「流れ星が人に当たった」というのが同値なんですね。
              • あなたにとっては「流れ星が大気圏に突入した」と「流れ星が人に当たった」というのが同値なんですね。
                (私は同値と言う言葉を使っていませんが、それはともかく、)

                脆弱性の深刻度の話をするときは、実際に被害が出たかは問わないのがスタンダードです。コンピュータソフトウェアの欠陥は、自動車の欠陥の場合などと異なり、100%の再現性があるため、攻撃しようと企てた者がいれば確実にやられます。セーフティとセキュリティの違いです。

                (なんだかよくわかりませんが)そちらから持ち出された流れ星のたとえ話に従えば、「流れ星が大気圏に突入した」が「実際にログイン用URLが漏れていた」に対応していて、「流れ星が人に当たった」が「実際に不正利用された」に対応しているというのですよね。

                実際に不正利用される確率が、大気圏に突入した流れ星が人に当たる確率並に小さいという主張か妥当かどうかなわけですが、それはどうでもよくて、それは問うことではないのです。脆弱性が存在すると判明した時点でそれは利用者(自衛策をとれる)に知らされるべきなのです。

                親コメント
              • #171866と#171997のACです。流れ星の喩えを最初に出された#171530のACさんとは別人です。ついでに言えば、このトピで書き込んだのは#171866が最初です。(信じる信じないは読み手の勝手だけど一応表明しておこう)
                なので、私の書いたコメントに「そちらが持ち出された流れ星のたとえ話」と言われても困るんだけど...
                2chで「login:penguinさんは~」とか言われてるみたいで何だか変な気分。
                jbeefさんは匿名で書ける掲示板でのリテラシに欠けてるのかな?それとも自分に反論する人はただ一人と考える人なのかな?
                まぁ上の方のコメント読むと反論=攻撃と考えるような人みたいなの
              • 「流れ星が大気圏に突入した」が「実際にログイン用URLが漏れていた」に対応していて、「流れ星が人に当たった」が「実際に不正利用された」に対応しているというのですよね。

                「流れ星が大気圏に突入した」が「実際にログイン用URLが漏れていた」に対応していて、「流れ星が人に当たった」が

              • しかし、MD5値が漏れても、生パスワードに到達できる可能性は確実でも高確率でもありません。 むしろ、MD5値から生パスワードに戻す事は実用上十分な程度には低確率であると考えられているのではないですか?
                こちらのご主張 [srad.jp] では、「そういう付け方をしてる人がいる」と危惧されているようですよ。
                親コメント
              • なので、私の書いたコメントに「そちらが持ち出された流れ星のたとえ話」と言われても困るんだけど...
                「そちら」があなたを指しているとは限りませんよ。匿名で書ける掲示板とはそういうものですよね。「あなた」と書かずに「そちら」とわざわざ書いたことからおわかり頂けると思いましたが。
                親コメント
              • はぁ?

                その「こちらのご主張」というのは生パスワードが知られてしまうと、(固定文字列+いくつかの文字列というパスワードを付けている場合)他のパスワードを推測されてしまうという話でしょ。
                そのような生成規則であればMD5値から生パスワードが容易に復元できるなんて話は全然されてないじゃん。

              • 「そちら」があなたを指しているとは限りませんよ。
                そのような主張は一度もしていません。
                なぜなら、そのような議論をしていないからです。

                # 便利だな。これ

              • その「固定文字列」が辞書に載っていないようなものであれば全く確率を下げる事には寄与しない。
                パスワードクラッカーの辞書に載っているようなものでなければ、その固定文字列+いくつかの文字というパスワードの付け方をする意義がないでしょう。
                また、パスワードクラッカーの辞書に載っているような文字列でなければ、生パスワードが判明したときに、どこからどこまでの部分文字列が他のサイトで使われている可能性があるか、判別できないでしょう。
                親コメント
              • 「そちら」を「あなた」のことだと思うのは(思ってしまうのは)かなり妥当な範囲では?
                こういう場合は、一般に(というか間違いを避けるために)発言番号を付記しますよね。匿名で書ける掲示板(での議論)とはそういうもの(書く側が読む側の間違いを減らすよう努力したりする)だと思います。
                親コメント
              • そうではなくて、誰を指しているかはどうでもよいということです。「流れ星」の例を出したのが誰かが重要なこととなっていましたか?
                親コメント
              • パスワードクラッカーの辞書に載っているようなものでなければ、その固定文字列+いくつかの文字というパスワードの付け方をする意義がないでしょう。

                はぁ?

                あなたには本当に想像力というものが無いんですね。
                たとえば「ozuj」という「固定文字列」に「slash」という「いくつかの文字」を付けて/.のパスワードにしてれば「ozujslashjp」が/.jpのパスワードかもしれない
                固定文字列+いくつかの文字列ではなくても、たとえば「AksuIoa」というパスワードであれば、「その人は英字のみ7文字程度で2文字の大文字を入れる傾向にある」というのがわかりますから、辞書攻撃でなくブルートフォー

              • あなたが
                なので、私の書いたコメントに「そちらが持ち出された流れ星のたとえ話」と言われても困るんだけど...
                という部分だけを殊更に引用してコメントしたから「誰を指してるか」が#172324以降の「主題」になってるのではないですか?
              • いいえ、主題にしたのは、誰かということではなく、誰を指しているかは重要でないということです。誰を指しているかを重要視されたコメントをされたのでそこを引用したわけです。
                親コメント
              • んー。理解しようと努力したけど、まったく理解不能…

                >パスワードクラッカーの辞書に載っているようなものでなければ、その固定文字列+いくつかの文字というパスワードの付け方をする意義がないでしょう。

                意義って何?少なくとも私は、「固定文字列+いくつかの文字」という規則に則っていないパスワードはいくつも利用していますが…。
                それに従うのが意義であり全てだと思うのであれば、あまりにも幼稚だと思うけど。
                # それを使うのが「幼稚」ではないよ

                >また、パスワードクラッカーの辞書に載っているような文字列でなければ、生パスワードが判明した
              • >いいえ、主題にしたのは、誰かということではなく、誰を指しているかは重要でないということです。誰を指しているかを重要視されたコメントをされたのでそこを引用したわけです。

                それが、主張しかしていないと言うことだ
              • 意義って何?

                jbeefたんの想像力では、固定文字列+αと言われたらword123とかoresama111とかの辞書に載っているような固定文字列のパスワードしか思い付かないんじゃない?
                tcyso + 124でtcyso124にするとか、そういうのを思い付けないんだよ。それか、そんなんじゃ覚えられないか。きっと。

                # 智 ちよ よみ 榊 大阪 の頭文字→tcyso :-)

                それでなければ、辞書に載っているような単語でなければ、辞書攻撃でMD5値から生パスワードに

              • 「そちら」があなたを指しているとは限りませんよ。匿名で書ける掲示板とはそういうものですよね。「あなた」と書かずに「そちら」とわざわざ書いたことからおわかり頂けると思いましたが。

              • 別にセキュリティ意識の高い人だけの話をしているわけではないと思うんだが・・・。
              • 「それは違う。しかし誤解させた事は謹んでお詫びする」 くらい言えないの?ってゆーか、それが一般社会の常識だと思うが。
                ものすごい一般化ですね。この件では、誤解した人は以下のように、
                なので、私の書いたコメントに「そちらが持ち出された流れ星のたとえ話」と言われても困るんだけど... 2chで「login:penguinさんは~」とか言われてるみたいで何だか変な気分。
                jbeefさんは匿名で書ける掲示板でのリテラシに欠けてるのかな?それとも自分に反論する人はただ一人と考える人なのかな?
                と、後半部分を言いたいが為に、好きこのんでわざわざ「誤解」したのでしょ?
                親コメント
              • まぁ上の方のコメント読むと反論=攻撃と考えるような人みたいなので、
                反論=攻撃なんて言っていませんよ。事実は「反論と攻撃がなされている」です。
                それとも攻撃(誹謗)がなされていないとでも?反論をするためには同時に誹謗も必要なのですか?
                Anonymous Coward機能の使い方はそれだけではないでしょうに。
                親コメント
              • たとえば「ozuj」という「固定文字列」に「slash」という「いくつかの文字」を付けて/.のパスワードにしてれば「ozujslashjp」が/.jpのパスワードかもしれない。
                そして同じ「ozuj」に別の文字を付けて別のサイトで使っているかもしれない、というのですよね。
                それは、#171462の「もし、そのパスワードがスラッシュドットだけで使っているものなのなら、」の前提に反するケースです。

                何度も言っているように、私が、 「MD5値が漏れることとそのパスワードが漏れることは完全に同等です」と述べたのは、「もし、そのパスワードがスラッシュドットだけで使っているものなのなら、」という前提が可能な場合だけです。そして実際にはそのような前提が成立しないユーザが存在するでしょう。
                だからこそ、それに続く、

                • もし、そのパスワードがスラッシュドット以外でも使っているものなのなら、辞書攻撃によるパスワード解読の危険性についても触れる必要があるので、「アカウント乗っ取り」というタイトルでは不十分です。
                という部分も重要なのだ、ということを述べたものです。
                親コメント
              • >ものすごい一般化ですね。この件では、誤解した人は以下のように、
                >と、後半部分を言いたいが為に、好きこのんでわざわざ「誤解」したのでしょ?

                既に承知の上だが、ものすごいワガママな考えだね(笑
                ようするにあなたのやりたいのは、俺様主義なワケだ。
                「総じて」俺が正しい としたいんでしょ?

                そんな奴らが集まって、まともな話なん
              • >反論=攻撃なんて言っていませんよ。事実は「反論と攻撃がなされている」です。
                >それとも攻撃(誹謗)がなされていないとでも?反論をするためには
                >同時に誹謗も必要なのですか?

                ほうほう…
                あなたは以下の発言をなさいましたね?

                >元々ACさんの方から、流星がどうのと不適当なたとえ話を持ち出され
                >て、攻撃されたのに対して、防衛をしていたのですが。そう見えないの
                >はどうしてですか?

                「少なくとも」その発言に対しては「攻撃された!」と思ったワケですね?
                攻撃っ
              • 私のことではないようですが、私のコメントを親にコメントされているようなので。

                問題点を「ひとつひとつ」片づけていかないなら、議論の収束 など無いのが当たり前でしょう。

                まさに私は問題点をひとつひとつ片づけているところです。 (無視するのが普通なのでしょうが。)

                正しい事は正しい、間違っていることは間違っている。 俺もそう思う。

                その通りですね。

                しかし、どれが正しくて、どれが間違っている かということは、あなたには関係ないわけだ。

                めちゃくちゃですね。

                既に承知の上だが、ものすごいワガママな考えだね(笑 ようするにあなたのやりたいのは、俺様主義なワケだ。 「総じて」俺が正しい としたいんでしょ?

                ワケがわかりません。もう一度、話の流れがわかるように事の発端から引用しておきます。 ようするに、パターン通りの揚げ足とり(「あなたと言われてもわたしはそのACではありませんよ」というよくあるパターン)をしたくてたまらず喜び勇んで曲解してきた発言だということです(でなければ、こんなところに突っ込みを入れても意味がない)。それに対して、「誤解させた事は謹んでお詫びする」くらい言えなどというのは、めちゃくちゃだということです。

                脆弱性の深刻度の話をするときは、実際に被害が出たかは問わないのがスタンダードです。コンピュータソフトウェアの欠陥は、自動車の欠陥の場合などと異なり、100%の再現性があるため、攻撃しようと企てた者がいれば確実にやられます。セーフティとセキュリティの違いです。 (なんだかよくわかりませんが) そちらから持ち出された 流れ星のたとえ話に従えば、「流れ星が大気圏に突入した」が...

                #171866と#171997のACです。流れ星の喩えを最初に出された#171530のACさんとは別人です。... なので、私の書いたコメントに「 そちらが持ち出された 流れ星のたとえ話」と言われても困るんだけど... 2chで「login:penguinさんは~」とか言われてるみたいで何だか変な気分。 jbeefさんは匿名で書ける掲示板でのリテラシに欠けてるのかな?それとも自分に反論する人はただ一人と考える人なのかな?

                「そちら」があなたを指しているとは限りませんよ。匿名で書ける掲示板とはそういうものですよね。「あなた」と書かずに「そちら」とわざわざ書いたことからおわかり頂けると思いましたが。

                あなたが 「なので、私の書いたコメントに「そちらが持ち出された流れ星のたとえ話」と言われても困るんだけど...」 という部分だけを殊更に引用してコメントしたから「誰を指してるか」が#172324以降の「主題」になってるのではないですか?

                いいえ、主題にしたのは、誰かということではなく、誰を指しているかは重要でないということです。誰を指しているかを重要視されたコメントをされたのでそこを引用したわけです。

                それが、主張しかしていないと言うことだと思うんだけど? 自己の意図と違ったのなら、 「それは違う。しかし誤解させた事は謹んでお詫びする」 くらい言えないの?ってゆーか、それが一般社会の常識だと思うが。

                ものすごい一般化ですね。この件では、誤解した人は以下のように、

                jbeefさんは匿名で書ける掲示板でのリテラシに欠けてるのかな?それとも自分に反論する人はただ一人と考える人なのかな?

                と、後半部分を言いたいが為に、好きこのんでわざわざ「誤解」したのでしょ?

                親コメント
              • >反論=攻撃なんて言っていませんよ。事実は「反論と攻撃がなされている」です。
                >それとも攻撃(誹謗)がなされていないとでも?反論をするためには
                >同時に誹謗も必要なのですか?

                ほうほう…

                「少なくとも」その発言に対しては「攻撃された!」と思ったワケですね? 攻撃って何さ?その考え方自体がくだらん。って言ってるのさ。
                誹謗、罵倒の言葉をわざわざ加えている発言のことを「攻撃」と表現するのは十分妥当でしょう。それとも、罵倒の言葉が含まれていなかったとでも?あるいは、反論をするために同時に罵倒も必要なのですか?
                私は、あなたを「敵」だと思えば、あなたの発言は全て「攻撃」だと 思いますが、それでいいはなしでしょうかね。
                私は発言に罵倒を含めていません。同じにしないでください。
                >Anonymous Coward機能の使い方はそれだけではないでしょうに。

                突然話のすり替えをしないでね。 以下、その話についてはレス不要と考えます。
                すり替えではありませんよ。Anonymous Cowardだからこそ、罵倒の言葉を加えた発言をしているのでしょうから。
                親コメント
      • /.jのセキュリティセクションに載ってる脆弱性って、ほとんどが
        「流れ星に当たるぐらい多くの悪条件が重なった場合にだけ起こる」
        ものだと思いますけど。

        で、それがMicrosoft製品に関する問題だった場合は、危険性の大小
        に関わらず、M$叩きを始める、ということが何

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...