パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済)」記事へのコメント

  • 原文を読んで初めて知ったのですが、 「まったく安全ではない」という部分は、 totally insecure つまり「全然安全ではない」だったんですね。 今までずっと not completely secure 「まったく安全、というわけではない」 という意味だと思ってましたよ。 おお怖。
    • すると、訳としては、「まるで安全ではない」くらいが良いでしょうか?
      • 『「すんごく危険」とかはいかが?』

        …と投稿しようとしたら、すでに「危険ですが,とても便利です.」
        に文面が変わってますね。すばやい対応に拍手。

        #「危険」とか書いてたら、誰も使わんわな。というのをオチに
        #しようと思ったのに、オチにならなくなったよ。ちぇっ
        • そこは直さなくてよいのにね。
          注意書きの問題じゃないわけだから。
          • いや、これは意味ある修正じゃないでしょうか。

            ツリーの元発言にあるように、「まったく安全、というわけではない」という意味で
            注意書きを間違えて捉えてしまえてしまう人がおり(含む、俺)、そういう人が
            余り危険とは思わずに問題の機能を使用してしまう可能性があったのですから、
            そういう誤解を防
            • 欲を言えば、具体的にどうして危険なのか、を説明する文章があれば、よりよかったのですが、…
              「過去に見つかって修正された弱点」として、この記事にリンクを張るのはどうでしょう。……というのは冗談ですが。

              書くなら「ブックマークした URL を他人に見られると、アカウントを乗っ取られます」ということを書くのでしょうね。

              なお、ぼくは、今まで「安全ではないが便利」で述べられている危険性を、パケット盗聴されてアカウントを乗っ取られる危険だと思い込んでいました。

              その危険は、暗号化されない通信でログインした時点で発生していますよね。「安全ではない(あるいは危険である)が便利」と書くだけでは、誰もがリスクを正しく理解できるわけではないという実例として、恥ずかしながら述べておきます。

              // こんな間違いをするのは少数派かもしれませんが。
              --
              鵜呑みにしてみる?
              親コメント
              • 「安全ではないが便利」の本来の意味は、一番最初のコメントにも書いたように、「他人が端末の前に立つと、ブックマークでログインできてしまう」危険性(それを許容できる危険度と判断する人はそれなりに多い)を想定して述べられていたものだと思います。これは、Refererによる漏れのこととは元々無関係だったし、対策が完全となった現在もまた無関係となっていると思います。
                親コメント
              • 「安全ではないが便利」の本来の意味は、一番最初のコメントにも書いたように、「他人が端末の前に立つと、ブックマークでログインできてしまう」危険性(それを許容できる危険度と判断する人はそれなりに多い)を想定して述べられていたものだと思います。
                そのコメントは読ませていただきましたが、それとは違う危険を想像していたユーザもいるということで書きました。間違っているジャン、と言われたらぐうの音も出ないのですが、考えればわかる間違いに気付かないユーザもいる、ということで。

                (ちなみに、ぼくはあのリンクを使ったことは、覚えている限りありません。上で「ユーザ」と書いているのは、スラッシュドットジャパンのユーザという意味です。)

                今回見つかった弱点は、「安全ではない」という警告を見て想像していた危険の度合いよりずっと重大なものであるという点では、ぼくは jbeef さんと同じです。あれで「警告してあった」などと言うのは、ユーザがサイトに書かれている文言を見てどう考えるかを理解していないとしか思えません。

                ところで、ユーザがログインしたときにできるクッキーって、デフォルトでは1年間有効だったと思いますが、違いますか? クッキーがセッション限りでなく、ユーザがいちいちログアウトしないなら、あの「便利なリンク」を使っていなくても、悪意のあるユーザに端末を触られたらクッキーでログインできてしまいますよね。だから、「便利なリンク」で言っている危険性は本当は何なのか、ぼくにはよくわからないのです。
                これは、Refererによる漏れのこととは元々無関係だったし、対策が完全となった現在もまた無関係となっていると思います。
                承知しています。
                --
                鵜呑みにしてみる?
                親コメント
              • ところで、ユーザがログインしたときにできるクッキーって、デフォルトでは1年間有効だったと思いますが、違いますか? クッキーがセッション限りでなく、ユーザがいちいちログアウトしないなら、あの「便利なリンク」を使っていなくても、悪意のあるユーザに端末を触られたらクッキーでログインできてしまいますよね。だから、「便利なリンク」で言っている危険性は本当は何なのか、ぼくにはよくわからないのです
                あのブックマーク機能は、毎回ログアウトしているか、または、cookieの有効期限をセッション限りにしている人向けの機能です。 なぜなら、そういう人にしか価値がありませんから。その人達向けの注意書きでしょう。
                親コメント
              • jbeef さんはそう思ったのですね。それはそれでかまいません。

                それなら、なぜデフォルトで cookie が1年間有効なのに、ユーザ登録のときに警告しないのか、やはりよくわかりません(jbeef さんに説明を求めているわけではありません)。
                --
                鵜呑みにしてみる?
                親コメント

にわかな奴ほど語りたがる -- あるハッカー

処理中...