h-harryのコメント: Re:そのうち、 (スコア 5, おもしろおかしい) 27
いまでも山場は鼻息で分かるよ
アナウンス:スラドとOSDNは受け入れ先を募集中です。
いまでも山場は鼻息で分かるよ
この元となった名刺って何の名刺なんだろう
営業の人の名刺だったら労せずに39社に出向かずに名刺を配ることに成功したと言えなくもない
これを機に商談ができるようなら万々歳だろう
そうだ!サンプルデータに名刺を登録して製品に添付するサービスをすればいいじゃないか!!
営業畑の人にうけること間違いなし!!(本当か?)
紙送りのテストだから、欲しかったのは「実在の情報」よりも「実物の名刺」じゃないかな。
情報に関してはダミーデータで良いと思うけど、
色んな紙質、厚み、形状の名刺をとり揃えるには実物が一番手っ取り早かったのではと。
以前、ランダムなID(変更不可)を割り当てれば解決 でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービスを提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原因です。
サービス提供者が割り当てたランダムで変更不可なユーザーIDは、利用者にとって暗記しにくいという問題点もありますが、利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求すれば良いだけです。ID はブラウザに Cookie で記録するような設計にすれば、毎回入力するというユーザーの手間も省けます。ID がしっかりといった強度を保っていれば、ユーザーがパスワードを使いまわしたとしても、問題は生じません。
専門家の高木浩光さんも、次のように述べています。
おいおい、いつからパスワードを使い回さないのが利用者の責任になったんだ? 利用者にはパスワードを使い回す自由があると昔から言っているだろうが。
1999年に世界一高速(推定)にRSA演算できた暗号LSIは、電流や電位を解析しても秘密鍵を読みとれない。
http://www.icanal.co.jp/ESD.html
計算していない間も電流をながしているからだ。これは意図してそうなったわけではない。設計者が消費電流のことまで考慮する余裕がなかっただけだった。
設計者が7セグメントLEDとかの簡単な制御回路を勉強する前に、暗号プロセッサを開発することになったからだ。これは大抜擢されたわけではない、いじめで無理難題を押し付けられた。RSA演算用暗号プロセッサは、ほぼ1人で設計している。簡単なプロセッサを作ったら、たまたま、IBMのメインフレームの仕様をフルスペック実装できて世界中の銀行に売れた。世界一のRSA演算用暗号プロセッサを1人で設計したあと、会社のVHDLの講習会で7セグメントLEDなどの制御回路を勉強した。演算器については数カ月、給料をいただいて仕事として勉強させてはもらったが。
ちなみ秘密鍵の値によって計算量が変わってくるが、秘密鍵の値によらず同じ時間で計算できるアーキテクチャであることも、秘密鍵を読みとれなくしている理由になっている。
同課によると、生徒は海外の攻撃サイトを利用。発信元のIPアドレス(ネット上の住所)を書き換え、正確な時刻情報を提供する「NTPサーバー」に対し、ゲームオン社のサーバーが繰り返し問い合わせをしたように偽装し、延べ約1100カ所の国内外のNTPサーバーから時刻情報を送信させ高負荷を与えていた。
とのことです。
これは、2013年12月ごろから流行になった比較的新しい攻撃手法です。
NTPサーバーを公開している人は、DDoS への悪用の被害を軽減するため、ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起 などを見て、対策して下さい。
よし、ATM買ってこよう!
この種の問題は、根本的に回避困難。
特に名刺なんて、サンプルと実物が混じったら実質識別不能。
だから、出荷前にテストデータを完全に削除するビルドシステムが必須。
これが一番重要な点じゃないかな?
無論、ビルドシステム自体のバグも根絶不能だから、テストデータの扱いに注意する必要も在るが、これは、どの段階のテストかによるので、単純に非難出来ない。
「ミニにタコという映画を撮ってみ・・・」
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy