パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済)」記事へのコメント

  • タレコミ人です。この件は、タレ込んだ後にBUGTRAQの方で進展がありました。その 進展を踏まえた補足を日記に書いておきました [srad.jp]。

    ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?

    タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、

    ...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略)
    which inform him

    • ちなみに同メンテナは、 以前書いたように [srad.jp]、XSS脆弱性を指摘されたときにも、 「これはバグではあるが、exploitが無いので、脆弱性ではない。」と誤った反論をしていたことがあります。

      一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる

      • by Anonymous Coward
        粘着して叩いてる暇があったら仕事しろよ。
        それとも仮名で叩くのがAISTの仕事か?

        そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
        今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!

        問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒

        • 誤解があるようですが、私は叩くということをしていません。

          今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?

          誤入力ではなく一度変更している場合です。再び元に戻している場合には、変更が必要です。また、他のサイトで同じパスワードを使用している場合にも警戒が必要で、これらのことは知らされるべきです。

          それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!

          パスワードによっては短時間で復元されることがあります。

          問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、

          私は問題を見つけたのではありません。

          • 誤解があるようですが、私は叩くということをしていません。

            あなたは他人の痛みがわからない人なんですね。

            また、他のサイトで同じパスワードを使用している場合にも警戒が必要で

            「MD5値からパスワードを復元できる」という前提が成り立てばその通りですが、そういう前提は成り立ちません。

            パスワードによっては短時間で復元されることがあります。

            は?何言ってるんですか?
            類推可能なパスワードをMD5して該当MD5値と一致したら「復元された」と言ってますか?
            それはMD5値を復元したのではなく、類推したパスワードをMD5値で検証しただけ

            • 「MD5値からパスワードを復元できる」という前提が成り立てばその通りですが、そういう前提は成り立ちません。

              あなたの用語の使い方に従えば、それは間違いですね。 MD5値からパスワードを「検証」できるという前提が成り立てば「その通り」であるわけで、その前提は成り立ち得ます。

              は?何言ってるんですか? 類推可能なパスワードをMD5して該当MD5値と一致したら「復元された」と言ってますか?

              上に書いたとおりです。それを広い意味で「復元」と呼ぶか、狭い意味で「検証」と呼ぶか、用語の使い方次第です。

              パスワードが類推可能なのであれば、ターゲットへ類推

              • もしかしてあなたはいわゆる辞書攻撃というものをご存じないのでしょうか?

                もしかして私バカにされてるんだろうか?
                まぁACだからいいけど。

                私は、MD5値が漏れる事=パスワードが漏れる事、という論理が飛躍しすぎていると言ってるのであって、辞書攻撃で解読されてしまう程度のパスワードはユーザのパスワード管理の問題だと思います。

                そもそも、MD5値が漏れるのが「パスワード漏洩の脆弱性」と言うのであれば、APOPも「パスワード漏洩の脆弱性」を抱えている事になりますね。
                SlashcodeにAPOP以上のセキュリティを求めるあなたのバランス感覚がおかしいとは思いませんか?

              • もしかして私バカにされてるんだろうか?

                ご存じない(失念を含む)からとしか、あり得ないご発言があった(「ターゲットへパスワードを入れてみれば検証できます」の部分がそれに該当)ため、そのように書いたしだいです。違いますか?

                辞書攻撃で解読されてしまう程度のパスワードはユーザのパスワード管理の問題だと思います。

                最近の辞書攻撃の能力はかなりのものがありますが、それに絶えうるパスワードをつけている人がどれくらいいるかということと、いずれにしても、だからといってチャラになる話ではないでしょう。

                私は、MD5値が漏れる事=パスワードが漏れる事

              • スラッシュドットへのログインに関しては、MD5値が漏れることとパスワードが漏れることは同等です。

                同等の効果が得られても同じ事ではありませんね。
                指摘する側が、そういう「センセーショナルな嘘(というか誇大表現)」をするから反発を受けるのでは?

                アカウントが乗っ取られることを一般読者にわかるようにパスワードが漏れたと表現しまし

              • スラッシュドットへのログインに関しては、MD5値が漏れることとパスワードが漏れることは同等です。

                同等の効果が得られても同じ事ではありませんね。

                まず、スラッシュドットへのログインに関することも関しないことも含め、今回の弱点の影響は、「(M+A): パスワードの MD5 の漏洩+アカウント乗っ取り可能」です。これを jbeef さんはタイトルの中で「(P): パスワードが漏洩」と表現しました。 #171458 [srad.jp] の AC さんは「(A): アカウント乗っ取り可能」と表現するべき、と主張しているのですよね。

                Slashcode に限らない一般論では、弱点の大きさは (P) ≧ (M+A) ≧ (A)

                --
                鵜呑みにしてみる?
              • タイトルに正確な情報をすべて詰め込むことはできないので、タイトルの表現が多少不正確だったり足りなかったりするのはしかたのないことです。

                今回 jbeef さんが、正確には (M+A) であるこの弱点を多少不正確でもいいから短く書こうとして、小さすぎる (A) という書きかたではなく大きすぎる (P) という書きかたを使った理由も、ぼくにはわかりません。

                (ユーザ向けのニュースにおいて)小さすぎる書き方は、責任を問われかねないという点に注意してみてください。

                また、「P」は原因です(もたらされる脅威の)が

              • (ユーザ向けのニュースにおいて)小さすぎる書き方は、責任を問われかねないという点に注意してみてください。

                一回のことだけ見れば、不正確だが大きすぎる書きかたをすれば、不正確で小さすぎる書きかたをするより、スラッシュドットはユーザに対して責任を果たしたと言えるでしょう。しかし、狼少年になってしまってはかえってマイナスになる可能性もあります。

                不正確に小さく書くのと不正確に大きく書くのとでどちらが読者のためなのかはそう簡単に判断できることではないと思います。

                また、「P」は原因です(もたらされる脅威の)が、「A」は原因ではなく(もたらされる

                --
                鵜呑みにしてみる?
              • 不正確に小さく書くのと不正確に大きく書くのとでどちらが読者のためなのか はそう簡単に判断できることではないと思います。
                私はタレコミの本文中で(また日記での補足において)正確に書きました。タ イトルについてが程度問題となることは、tixさんもおっしゃるとおりで、そ の上で述べたのが、タイトルにおける「(ユーザ向けのニュースにおいて)小 さすぎる書き方」の話をしたものです。

                また、「P」は原因です(もたらされる脅威の)が、「A」は原因ではなく(も たらされる)脅威です
                いいえ、ぼくはここでは「パスワードが漏洩する」ということ自体を脅威の一 つと数えています。
                それはそうです。原因が脅威という結果に結びつく限りすべての原因も脅威と 表現可能です。そういうことを言っているのではなく、Aを中心に見たときのA に対するPの関係が「原因」であると述べただけです。
                なぜそれを述べたのかというのは、それに続く部分を言うためです。つまり、 前のコメントにも書いた、脆弱性を語るときはできるだけ原因に近い事象を述べるのが良いという点を述べるためです。 原因方向の事象(極はexploitを示すこと)ほど厳密ですがユーザには理解が 困難です。結果方向の事象ほどユーザには理解しやすいですが厳密でなくなり ます。「A」を示すことは厳密さが足りないと言っているのです。何が足りな いと言っているかは以下に続く部分です。
                「P」が原因の「A」という脅威は、常に起きることですが、単に「A」と言っ ただけではそこまで表現できていません。
                (P) ならば (A) ですが、逆は成り立たないという意味ですね。それならその 通りです。
                そのようなことは書いてありません。(書いてあることだけを解釈する癖を付 けましょう。)
                何を言っているのかはそれに続く部分に書いてあります。tixさんならもう 一度読んでくださればおわかり頂けると思いますが、もう一度述べておくと、 Aと言っただけでは別のタイプの(別の原因の)脆弱性(例えばセッションID 盗用の場合は一定期間だけアカウント乗っ取りの脅威にさらされる)のことと 区別できていない(ので不十分な説明)ということを述べています。原因Pを 示せば、一時的ではなく常時Aの危険に晒されること(追記すれば「パスワードを変更している場合には脅威がない」ことも)を説明し切れる点で厳密性があることを 述べています。
                同様に、 (P) ならば (M+A) だし、 (M+A) ならば (A) ですが、ともに逆は一 般的には成り立ちません。
                その手の話をしているのではないのです。
                「(A) と表現することが不正確」というだけでは、タイトルに (P) を掲げる ほうが (A) を掲げるよりもいい理由を説明したことになりません。
                既に述べたように、ユーザ向けニュースにおいてタイトルで小さい方に倒すの には問題があるのです。もちろんそれは程度問題ですが、MD5値に対する辞書 攻撃の可能性(同値などとはもちろん言っていない)も付随しているので、 程度問題として妥当だと判断したということです。これはタレコミ時から十分 に考慮して書いたもので、ミスではありません。
                世の中には「ユーザのため」と言いながら自分のために弱点を大きく書く人が いてもおかしくありません。
                本文中の話とタイトルの話は区別して書いた方がよいです。
                親コメント
              • Aと言っただけでは別のタイプの(別の原因の)脆弱性(例えばセッションID 盗用の場合は一定期間だけアカウント乗っ取りの脅威にさらされる)のことと区別できていない(ので不十分な説明)ということを述べています。原因Pを示せば、一時的ではなく常時Aの危険に晒されること(追記すれば「パスワードを変更している場合には脅威がない」ことも)を説明し切れる点で厳密性があることを述べています。
                ならば、完全に間違いでしょう。今回 (A) が起きる原因は (P) ではなく、パスワードの MD5 が漏洩することなのですから。
                世の中には「ユーザのため」と言いながら自分のために弱点を大きく書く人がいてもおかしくありません。
                本文中の話とタイトルの話は区別して書いた方がよいです。
                そうですか? タイトルを大きく書いて必要以上に人目を引いたら、それはそれで問題のある書きかたです。今回、「必要以上」だったかどうかはよくわかりませんが。
                --
                鵜呑みにしてみる?
                親コメント
              • ならば、完全に間違いでしょう。今回 (A) が起きる原因は (P) ではなく、パスワードの MD5 が漏洩することなのですから。
                スラッシュドットへのログインに関しては、PもMも結果に与える影響が同等です。私は、Aをタイトルとすることの不十分さを説明するために上のことを書きました。何か間違っていますか?
                そうですか? タイトルを大きく書いて必要以上に人目を引いたら、それはそれで問題のある書きかたです。今回、「必要以上」だったかどうかはよくわかりませんが。
                短いタイトルに厳密さを求めるのには限界があるというというのはtixさんもおっしゃったではないですか。ユーザ向けには安全側に倒す必要があるという論点も出ました。なのに、それが「自分のために弱点を大きく書く」なのですか?失望しました。
                親コメント
              • スラッシュドットへのログインに関しては、PもMも結果に与える影響が同等です。私は、Aをタイトルとすることの不十分さを説明するために上のことを書きました。
                その2点は間違っていません。でも、 (P) と (M) はスラッシュドットへのログイン以外の点で影響が異なります。
                短いタイトルに厳密さを求めるのには限界があるというというのはtixさんもおっしゃったではないですか。
                そうです。だから、不正確になったのを責めるつもりはありません。でも、「(M+A) は正確であり、 (P) は不正確である」という点を jbeef さんが否定しているように見えたので、反論していました。それとも、その点は既に了承済みということでしょうか。
                ユーザ向けには安全側に倒す必要があるという論点も出ました。
                それは出ましたが、タイトルを事実よりも大きく書くことの問題点(そのうち信じてもらえなくなること)を無視していいほど重大なのでしょうか。公表者には、小さすぎる表現をするリスクと大きすぎる表現をするリスクの二つの間でバランスを取るという難しい作業が求められているのだと思います。 jbeef さんは、「タイトルに (A) と書くよりも (P) と書いたほうがよい」というのを盲目的に信じていませんか?
                --
                鵜呑みにしてみる?
                親コメント
              • タイトルを事実よりも大きく書くことの問題点(そのうち信じてもらえなくなること)
                読者が信じてくれなくなるというだけでなく、クレーマーとして開発者から取り合ってもらえなく可能性もありますね。
              • 「(M+A) は正確であり、 (P) は不正確である」という点を jbeef さんが否定しているように見えたので

                というか、タレ込み時点では「(P)は不正確である」という認識は無かったのでは?
                確かにタイトルは字数の制限もあるので、「(M+A)では長すぎるので(P)とした」でも許容範囲ぎりぎりいっぱいだとは思いますが、多くの字数を割いて説明できるはずのタレ込み本文でも

                私のサーバのアクセスログを「grep slashdot | grep passwd」してみたところ、ユーザ名とパスワードを含むRefererが1件見つかった

                と、(M)ではなく(P)だ

              • >多くの字数を割いて説明できるはずのタレ込み本文でも
                >と、(M)ではなく(P)だと明確に書いてある。

                本文の初出で、「そのURLにはユーザ名とパスワード(のMD5値)が含まれているので、」と書いてあるので、そんなことはないでしょう。
              • 本文の初出で、「そのURLにはユーザ名とパスワード(のMD5値)が含まれているので、」と書いてあるので、そんなことはないでしょう。

                その初出の部分で「(のMD5値)」と括弧書きで書かれているという点こそ、まさにjbeefさんが「(P)==(M)である」と認識していた(=(P)が不正確な表現であるとは認識していなかった)という証左ではないでしょうか?
                括弧書きというのは通常「無くても意味は通じるが、詳しく説明するため」に付けるものであって「不正確な表現を訂正するため」に使われる記法ではありません。

                プログラマにとって(これは商用プログラムのプ

              • #171458 と同じかたですか? 同じでも同じでなくてもいいのですが、みんな匿名だと結局何人で議論しているのかわからず気になるので、もしよければ教えてください。
                その初出の部分で「(のMD5値)」と括弧書きで書かれているという点こそ、まさにjbeefさんが「(P)==(M)である」と認識していた(=(P)が不正確な表現であるとは認識していなかった)という証左ではないでしょうか?
                証拠かどうか、と言われると、それ一つだけで証拠にはならないような気がしますが、ぼくがその部分の括弧書きを見たとき、 jbeef さんは正しく理解しているのだろうか、と不安を覚えたのは事実です(ぼくはプログラマではありません……念のため)。
                --
                鵜呑みにしてみる?
                親コメント
              • #171458さんとは別人です。私が書いたのは#173647,#172697, #172510ぐらいかな?あと下の方の「Re:そもそもパスワードって漏れるもの」でいくらか茶々入れを書いたような...

                私はいわゆる「商業プログラマ」ですが、「Re:私刑、ですか……」という方も興味深いですね。
                というか、気持ち的には商業プログラマであってもさほど変わりません。ただ給料貰ってやっ

              • #171458さんとは別人です。私が書いたのは#173647,#172697, #172510ぐらいかな?

                多少流れがわかりやすくなりました。どうも。

                私はいわゆる「商業プログラマ」ですが、「Re:私刑、ですか……」という方も興味深いですね。

                たくさんのコメントをすべて読んではいませんが、このコメントは読んでみました。たしかに面白いです。ソフトウェアの開発者と弱点の発見者のコミュニケーションがどうしてうまくいかないかを説明できる可能性がありますね。

                でも、その後のコメントで、やっぱり「ハッカーコミュニティとセキュリティコミュニティの対立」(?)という雰囲気のフレームが起きているようなので、悲しくなります。

                なお、ぼくは商業的なソフトウェアの弱点を発見したり指摘したりしたことはありませんが、フリーか商業的かで指摘の方法を大きく変えることはないだろうと想像しています。

                ぼくは今までにフリーソフトのセキュリティホールを少しだけ指摘したことがありますが、いずれも、無視されたり、不完全な修正にとどまったりしています。修正されないソフトは使わなければ個人的にはそれで済むので、社会的な責任を考えないようにして黙っていますが、もう少しぼくにコミュニケーションの能力があれば修正してもらえたのかもしれないと思うと悔しいです。

                そんなぼくが書いても説得力がありませんが、ぼくがソフトウェアの弱点を作者に報告するときには、報告を読んだ作者が「直そう」と思ってくれるような報告を書くことを心掛けています。これが当然と思う人は幸せなのですが、ぼくの場合、ともすれば、作者にぼくの力を見せ付けてやろうとか、要らぬ考えが浮かんでくるので、そういう邪念を抑えて報告を書くのは労力を要します。

                例えば、「こんな弱点だらけのソフトウェアを何の警告もなく公表しているようでは、あなたの正義感や開発者としてのセンスを疑います」のようなことを書きそうになったこともあります。こんなことを書いても、作者はやる気を出してはくれないでしょう。怒って読むのをやめるか、悲しんでソフトウェアを書くのをやめるか、いずれにしても弱点は修正されない可能性が高いです。

                何が言いたいかというと、問題が理想的に解決に至るためには開発者がやる気を出してくれることが必要であり、開発者がやる気を出してくれるような報告を書くべきだということです。この点では、べつにフリーか商業的かなんてあまり関係がないと思います。

                ただ、商業的なソフトウェアの場合「こんなソフトウェアで金を取るなよ」とか考え始めるとまたいろいろな邪念が出てきて、まともな報告(報告を読んだ開発者が「直そう」と思ってくれるような報告)がしづらいだろうとは思います。

                でも実際の所、フリーの場合だと自分で「公表する」と決めたら即公表できますが、商業プログラマなんて「公表するかしないか」という意思決定に直接関与できないので、ツラい面もありますね。

                商業的なプロジェクトであっても、「公表するかしないか」の意思決定をする人がセキュリティに詳しければ、すべて自分でやらなければならない個人プログラマよりもかえっていい行動が取れると思うのですが、難しいのでしょうね……。

                フリーソフトウェアであっても、多人数のプロジェクトだと、「弱点を公表するかどうかの意思決定に関われない開発者」という存在が出てくると思うのですが、そちらでも同じように辛い思いをしている人がいるのか、気になります。

                --
                鵜呑みにしてみる?
                親コメント
              • 一連のコメントしてる商業プログラマACです。

                ソフトウェアの開発者と弱点の発見者のコミュニケーションがどうしてうまくいかないかを説明できる可能性がありますね

                「ハッカーコミュニティ」が「贈与の文化」であるのに対して「セキュリティコミュニティ」は「狩猟の文化」なのかな?という仮説を立ててみました。

                基本的に「セキュリティコミュニティ」は自ら何かを生み出すのではなく、そこにある「何か(セキュリティホールとか)」を狩る事によってだけ「成果」を上げる事ができます。

                「狩猟」の場ではほんのわずかの失敗も致命的な結果をもたらしま

              • 何でも思いつきを言いさえすればいいというもんじゃないよ 。恥ずかしいからやめろ。
              • その2点は間違っていません。でも、(P) と (M) はスラッシュドットへのログイン以外の点で影響が異なります。
                そんなことは当たり前です。だから、最初の時点で #171462 のように場合分けして書いているわけです。
                それから、元の文脈で話をしていただけませんか?元はこうですよ。
                Aと言っただけでは別のタイプの(別の原因の)脆弱性(例えばセッションID 盗用の場合は一定期間だけアカウント乗っ取りの脅威にさらされる)のことと区別できていない(ので不十分な説明)ということを述べています。原因Pを示せば、一時的ではなく常時Aの危険に晒されること(追記すれば「パスワードを変更している場合には脅威がない」ことも)を説明し切れる点で厳密性があることを述べています。
                ならば、完全に間違いでしょう。今回 (A) が起きる原因は (P) ではなく、パスワードの MD5 が漏洩することなのですから。
                スラッシュドットへのログインに関しては、PもMも結果に与える影響が同等です。私は、Aをタイトルとすることの不十分さを説明するために上のことを書きました。
                その2点は間違っていません。でも、(P) と (M) はスラッシュドットへのログイン以外の点で影響が異なります。
                これでもtixさんは正常な議論をしていると思いますか? 1個前のコメントだけを解釈してコメントしていませんか?
                公表者には、小さすぎる表現をするリスクと大きすぎる表現をするリスクの二つの間でバランスを取るという難しい作業が求められているのだと思います。
                ちなみに、この件で私は「公表者」ではありませんよ。ニュースのタレコミ者です。スラッシュドットがいつもそうであるように、どこかの一次情報源をきちんと参照した上で、二次情報源として紹介しているだけです。
                私が一時情報源となる場合には、正確さが要求されるだけに、紙面の限られるような場には書きません。
                ちなみに、一次情報源のタイトルは「slashdot / slashcode disclosing passwords」でした。
                jbeef さんは、「タイトルに (A) と書くよりも (P) と書いたほうがよい」というのを盲目的に信じていませんか?
                「と書いた方がよい」の根拠を論理的に説明しているのに、 「盲目的に信じていませんか?」とおっしゃるのですか。 #172307でせっかく書いた説明はシカトしておいて。
                親コメント
              • その初出の部分で「(のMD5値)」と括弧書きで書かれているという点こそ、まさにjbeefさんが「(P)==(M)である」と認識していた(=(P)が不正確な表現であるとは認識していなかった)という証左ではないでしょうか?
                そんなバカな。同値(前提なしに)と認識していたら括弧書きをしないでしょう。
                括弧書きというのは通常「無くても意味は通じるが、詳しく説明するため」に付けるものであって「不正確な表現を訂正するため」に使われる記法ではありません。
                まさに、詳しく説明するために付けたものだし、人によっては無くても意味が通じるでしょう。なぜなら、これはよそで話題になっていたことのタレコミであって、一時情報源をあたれば正確なことが書いてあるし、タレコミ文にも、「というリンクがある。そのURLにはユーザ名とパスワード(のMD5値)」というように、自分で実物を確認する方法を紹介してあるわけです。
                親コメント
              • でも、ここにカッコがつくと結局は
                「パスワードが漏れる」と言ってることになっちゃう。
                事実は「パスワードのMD5値が漏れる」でしょ?
                少なくとも、事実は「パスワードのMD5値」であるものを
                わざわざ「パスワード(のMD5値)」と
              • 正常な議論って難しいですね。

                これでもtixさんは正常な議論をしていると思いますか?

                jbeef さんは

                スラッシュドットへのログインに関しては、PもMも結果に与える影響が同等です。私は、Aをタイトルとすることの不十分さを説明するために上のことを書きました。

                と書かれていますが、その部分では本当に文字通り、 (A) をタイトルとすることの問題点を書いていただけなのですね。わかっていませんでした。すみません。

                (A) が不十分なのは承知しています。 (A) が不十分な理由を、ぼくは「今回の弱点の被害は (M+A) だが、 (A) だからといって (M+A) とは限らないから」つまり「(A) だけでは説明できない被害があるから」と思っており、 jbeef さんは「(A) は弱点により引き起こされる結果 (の一つ) でしかないから」(強調部はぼくが補った)と思ってみえるようですが、この理由の差は表面的なもので、議論には関係ないと思います。

                (P) をタイトルにすることの問題点はどうなってしまったのでしょう。

                弱点を (A) だと述べることは弱点を過小に評価しています。それと対称的に、 (P) は過大に評価しています。 (A) が過小でタイトルとして不適格なら、 (P) は過大であってタイトルとして不適格です。

                だから過小でも過大でもないタイトルを付けるなど無理だ、というなら、タイトルは過小でも過大でもいいのです。本文で正しく説明すればいいのだから。あるいは、スラッシュドットへのタレコミなど、正確でなくたっていいとも思います。正確でなくて重要なことなら、誰かが指摘するので(希望的観測?)。

                でも、 jbeef さんは過大なほうに倒そうとなさっているようです。 jbeef さんは、過大な表現ばかり使うことで、報告を読んだ人に信用してもらえなくなるリスクをどう考えてみえるのですか?

                ちなみに、一次情報源のタイトルは「slashdot / slashcode disclosing passwords」でした。

                知りませんでした。これが理由でタイトルを (P) としたというなら、理解できます。でも、一般論として「過小に書くより過大に書いたほうがまだましだ」と思ってみえるのなら、それには同意できません。

                「と書いた方がよい」の根拠を論理的に説明しているのに、「盲目的に信じていませんか?」とおっしゃるのですか。 #172307でせっかく書いた説明はシカトしておいて。

                #172307 を書いていただいたことは感謝していますが、 #172307 は反論としては不十分です。ぼくは「小さく書くのと大きく書くのは両方とも問題であり、どちらがいいとは一概に言えない」と主張しています。大きく書くことが問題であることの根拠は #172228 [srad.jp] にも一言だけ書きました。 jbeef さんは「小さく書くのは問題だ」とばかりおっしゃって、「大きく書くことも問題だ」という点をどう考えているのか書いていただくことができずにいます。その様子から、考えるのを拒んでいるという印象を受けたので、「盲目的に」と表現してしまいました。お気に障ったらごめんなさい。

                ちなみに、この件で私は「公表者」ではありませんよ。ニュースのタレコミ者です。

                「公表者」というのを「弱点を発見した人」や「誰かの見つけた弱点を Web で告知する人」(スラッシュドットでは投稿というプロセスが挟まりますが、基本的にはタレコミ者もこの範疇だと思って書いています)などを総称する言葉として使っていました。説明なしに使ってしまったのはわかりにくかったかもしれません。

                --
                鵜呑みにしてみる?
                親コメント
              • もしかしてtixさんは、一般論をなさっているのですか?
                私が述べていることは、私が今回書いたタレコミという特定の事例についてのものです。
                親コメント
              • 「狩猟の 文化」なんちゅー大層なもんじゃなくて、単なるいじめっ子に見えるがな。
                自分の誤りを認めないのは認めてしまうと次にいじめられるのは自分だし、強く見せようとするのは本当は弱いヤツだからだろ。
                巨根主義のヤツはたいてい短小っていうのと一緒で、本当は弱いのに強くありたいと思うから強がってみせる。本当に強いヤツは強がったりしない。
                あっちのスレで「逃げる」というのは、そういう気持ちになると書いてあるだけで実際逃げてる訳じゃないのに、それでも執拗に叩いているのは自分より弱い者しか叩けないいじめっ子の特徴。弱みを見せたら一
              • まさに、詳しく説明するために付けたものだし、人によっては無くても意味が通じるでしょう。

                無くても日本語としては意味が通じますが、現象の説明としては誤った意味につたわるのですが。

                これはよそで話題になっていたことのタレコミであって、一時情報源をあたれば正確なことが書いてあるし、

              • 結局さぁ、jbeefさんは
                • 元報告に「パスワード」と書かれていたので、「パスワード」と信じて間違いに気付かないほど無能だった
                • 「パスワードのMD5値」の事を「パスワード」と書けば正しく皆に伝わると考えるほど無能だった
                • 未だに「パスワードのMD5値」を「パスワード」と書くのは正しいと信じるほど無能である

                の、どれ?
                言葉の切れ端に噛み付いてる暇があったら、あなたがどのタイプの無能なのかはっきりしてよ。
                それがわからないか

              • #174988での質問:「もしかしてtixさんは、一般論をなさっているのですか? 」にお答え頂けなかったので、答えはyesであると仮定して、質問の意図を説明しておきます。

                tixさんは、

                jbeef さんは「小さく書くのは問題だ」とばかりおっしゃって、「大きく書くことも問題だ」という点をどう考えているのか書いていただくことができずにいます。
                と述べているわけですが、一般論として、大きく書くことがもたらす問題点が存在し得ることは、当たり前のことで、誰にも疑う余地がないでしょう。しかし、ここではそのような議論をしているのではありません。私の今回のタレコミが適切であったかという個別論をしているのです。 私のタレコミの問題点が指摘されたからこそ、そのように書く必要性があったことを説明することで、このケースでの妥当性を説明しているわけです。そのような状況において、
                どう考えているのか書いていただくことができずにいます。
                という理由によって、
                その様子から、考えるのを拒んでいるという印象を受けたので、「盲目的に」と表現してしまいました。
                と言われても困ります。 tixさんがどうやら個別論を無視して一般論を展開しているらしいという疑いを持ったのは、
                #172307 を書いていただいたことは感謝していますが、 #172307 は反論としては不十分です。ぼくは「小さく書くのと大きく書くのは両方とも問題であり、どちらがいいとは一概に言えない」と主張しています。
                という部分からです。元々「一概に言う」などという議論は行われていないのです。#172307で述べたのは、このケースにおいての必要性の理由を述べたものです。
                ちなみに、この件で私は「公表者」ではありませんよ。ニュースのタレコミ者です。
                「公表者」というのを「弱点を発見した人」や「誰かの見つけた弱点を Web で告知する人」(スラッシュドットでは投稿というプロセスが挟まりますが、基本的にはタレコミ者もこの範疇だと思って書いています)などを総称する言葉として使っていました。説明なしに使ってしまったのはわかりにくかったかもしれません。
                それで、前者(弱点を発見した人)と後者(タレコミ者)は、この問題において同格なのですか?あなたが引用からわざわざ削除なさった前回の私の説明を再掲しておきます。なぜ削除してコメントなしなのですか?
                ちなみに、この件で私は「公表者」ではありませんよ。ニュースのタレコミ者です。スラッシュドットがいつもそうであるように、どこかの一次情報源をきちんと参照した上で、二次情報源として紹介しているだけです。 私が一時情報源となる場合には、正確さが要求されるだけに、紙面の限られるような場には書きません。
                親コメント
              • 一般論か個別論かという分類はよく理解できません。

                ずっと書いていることですが、 jbeef さんは、弱点を大きく書くことのリスクを過小に評価していると思います。

                今回の jbeef さんのタレコミは、一次情報と同じくらいの重み(効果? 権威?)があったと思います。「パスワード自体は漏れないのに、パスワードが漏れるかのように大袈裟に書くな」という非難はその表れかもしれません。二次情報であって許される文章の量が限られているからといって甘く考えず、注意して書いていただければよかったと思います。文章の量が限られていても、できることはあったはずです。

                ぼくは、タレコミ文を読んだ後で事実を知って「また大袈裟に騒いでいるのか」と思ったわけです。間違えていたならともかく、こんなことを繰り返していると、信頼できなくなるように思います。これがぼくだけのことなら、全体から見ればどうでもいい話ですが、多くの人の信頼を失うようなことにはなってほしくありません。
                --
                鵜呑みにしてみる?
                親コメント
              • 一般論か個別論かという分類はよく理解できません。
                あなたが前回述べた「一概に言えない」などの主張が「一般論」で、 私の今回のタレコミ文が適切だったかどうかを論ずるのが「個別論」です。その違いが理解できないとおっしゃるのですか?

                以下はようやく個別論について述べて頂けたようですが、

                二次情報であって許される文章の量が限られているからといって甘く考えず、注意して書いていただければよかったと思います。文章の量が限られていても、できることはあったはずです。
                私が注意せずに書いたのだとおっしゃるわけですね。私は注意して書いたと証拠を挙げて述べてきました。 これまでもずっとチャンスがあったにもかかわらず、あなたは一度も代案を示そうともしてこなかった(つまり、この件でのタイトルの難しさを理解している)くせに、よくもまあそう言えますね。
                ぼくは、タレコミ文を読んだ後で事実を知って「また大袈裟に騒いでいるのか」と思ったわけです。
                一次情報源のタイトルを知らなかった程度に読んだだけ(#174549参照)なのにですか(まあ、そういう読者がいるというのは、スラッシュドットの全ての記事に存在する問題点ではあるのですが)。また、私はタレコミ文の冒頭で、以下のようにわざわざリンクを設けて、自分で何が漏れるのかを確認できるように工夫もしたのですよ。 そういうのも確かめなくて「ぼくは、タレコミ文を読んだ後で事実を知って」なのですね。
                スラッシュドットのユーザページ [srad.jp]にある「パスワード」というリンク [srad.jp]の先には、
                このリンクをクリックすると,自動的にログインすることができます.クリックした先のページをブックマークしてください.全く安全ではないですが,とても便利です.
                というリンクがある。そのURLにはユーザ名とパスワード(のMD5値)が含まれているので、アクセスするだけでログインできるわけだが、
                親コメント
                • 元報告に「パスワード」と書かれていたので、「パスワード」と信じて間違いに気付かないほど無能だった
                • 「パスワードのMD5値」の事を「パスワード」と書けば正しく皆に伝わると考えるほど無能だった
                • 未だに「パスワードのMD5値」を「パスワード」と書くのは正しいと信じるほど無能である
                の、どれ?
                2番目が最も近いですが、それも誤りです。正しくは、
                • 「パスワードのMD5値」の事を「パスワード」とタイトルに書いても、本文中でちゃんと「そのURLにはユーザ名とパスワード(のMD5値)が含まれているので」と書き、冒頭で、実際に問題のURLがどのようなものであるかを読者が自分で調べられるようにリンクを設けて便宜を図り、一時情報源へのリンクも明示しておけば、正しく皆に伝わると考えた。
                といったところです。
                だけど、「セキュリティ専門家」は「無能を無能と言うのは正しい」という文化のようだから、あなたがたの文化に合わせてるだけ。
                私は「無能を無能と言うのは正しい」などと一度も言っていませんよ。まさに不当な誹謗、罵倒発言ですね。反論のために必要なことなのですか?
                親コメント
              • ぼくは今回のタレコミのタイトルや本文(本文もです)の書きかたが適切であったかどうかだけを議論しています。ただし、それが今後に与える影響も視野に入れています。また、今回の書きかたの裏に、弱点の影響を大きく書いて目立ちたいという心理があるのではないかと疑っていました。その疑念のせいでまっとうな議論ができなかったとしたら、ぼくのせいです。お時間をとらせてすみません。

                ぼくがタレコミの文章を読んで呆れたのを、 jbeef さんがぼくの側の問題だと思うなら、もうぼくのほうに議論を続ける理由はありません。

                反論するのも疲れました。 jbeef さんがお忙しい中ぼくのコメントを読んで反応してくださるのは嬉しいのですが、ぼくは jbeef さんのおっしゃることに反論している時間的・精神的余裕がありません。お付き合いいただきありがとうございました。
                あなたは一度も代案を示そうともしてこなかった(つまり、この件でのタイトルの難しさを理解している)
                タイトルは「Slashcode で一部ユーザのログイン用 URL が referer として漏洩」くらいでしょうか。本文中では「パスワード(の MD5)」という曖昧な括弧の使いかたを避けるため、危険の内容を一言で「ログイン用 URL の漏洩」と表現し、それによって「アカウントが乗っ取られる」「パスワードの MD5 が漏洩する」という二つの結果が生じると書けば多少わかりやすくなりそうです。

                この書きかたにもいろいろ問題点はあって、まず「ログイン用 URL」では何のことかわからないので本文中で説明する必要があるし、タイトルが長すぎるかもしれません。結局「ログイン用 URL の漏洩」によって何が起きるかはタイトルだけではわからないわけですし。いいことなし? まあ一つの案として。
                --
                鵜呑みにしてみる?
                親コメント
              • 今回の書きかたの裏に、弱点の影響を大きく書いて目立ちたいという心理があるのではないかと疑っていました。その疑念のせいでまっとうな議論ができなかったとしたら、ぼくのせいです。
                いまさら、こんな内容のことを、jbeefという仮名で、ここに書くことに「目立ちたい」という心理があるわけがないではないですか。 発見者でもないのですよ。BUGTRAQで報告された情報を単に紹介するなんてのは、二番煎じであって、誰にでもできることであって、私の場合にはむしろ恥ずかしい奴と言われかねないことです。しかし、私の立場とは別に、BUGTRAQに報告されるもののいくつかは、誰かによって、日本語で日本の皆さんに解説されることが必要だと考えています。そのため、jbeefという仮名を使うことが妥当とされているこの場で、永らくそうした活動をしてきました。必要もないのにAnonymous Cowardを使うのは避けるべきだと考えているので、同じ仮名で書いているだけです。
                この書きかたにもいろいろ問題点はあって、まず「ログイン用 URL」では何のことかわからないので本文中で説明する必要があるし、タイトルが長すぎるかもしれません。結局「ログイン用 URL の漏洩」によって何が起きるかはタイトルだけではわからないわけですし。
                (最初からそのように個別の議論していただければよかったのです。なぜそれを避けましたか?)

                そして、ご自身、お気づきのように、このケースではそんなに簡単に完璧なタレコミ文を書くことはできないものでした。もちろん若干の改善方法はあったでしょう。しかし、「注意せずに書いた」と非難されるほどのものではないと考えているということです。

                親コメント
              • しつこい話になるけど、ほんと
                パスワード(のMD5値)
                この表現はとにかくおかしいってコトだと思うんですが...。
                スラド的な言い回し(って勝手な想像だけど)なら、本文中に

                タイトルではパスワードと書いたが、実際にはパスワードのMD5値である。しかしその悪用のされ方によってはパスワードが漏れることと同じくらいの威力があるともいえる。/.J諸兄も注意されたし。

                うーん、こんな感じかなあ。まあこんなフーなのが書いてあれば良かったのではなんて思ったりしますた。
                親コメント

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...