パスワードを忘れた? アカウント作成
2014年9月 記事 / 日記 / コメント / タレコミ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2014年9月18日の人気コメントトップ10
11569690 comment

nagomiのコメント: Re:実在の名刺情報 (スコア 5, おもしろおかしい) 80

分けて考えれば、ここには二つの問題点があり…。
一つには、実在する名刺の情報を流してしまったこと。
もう一つには、テストデータが入ったまま製品にしてしまったこと。

ダミーデータを使えば前者は回避できますが、後者はまた別の問題だろうと思うのです。
購入していざ使う段になって、テストデータが残ったまんまだと
「あ、ダミーだこりゃ」
と思われますよね。

# 私もダメだこりゃ
11569598 comment

コメント: 営業の名刺だったら好都合 (スコア 5, すばらしい洞察) 80

この元となった名刺って何の名刺なんだろう
営業の人の名刺だったら労せずに39社に出向かずに名刺を配ることに成功したと言えなくもない
これを機に商談ができるようなら万々歳だろう

そうだ!サンプルデータに名刺を登録して製品に添付するサービスをすればいいじゃないか!!
営業畑の人にうけること間違いなし!!(本当か?)

11569440 comment

x-rebuttalのコメント: Re:実在の名刺情報 (スコア 5, 興味深い) 80

紙送りのテストだから、欲しかったのは「実在の情報」よりも「実物の名刺」じゃないかな。

情報に関してはダミーデータで良いと思うけど、
色んな紙質、厚み、形状の名刺をとり揃えるには実物が一番手っ取り早かったのではと。

11570240 comment

Printable is bad.のコメント: ID を使いまわさないよう事業者に呼びかけるべき (スコア 4, 参考になる) 47

 以前、ランダムなID(変更不可)を割り当てれば解決 でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。

 ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービスを提供しています。

 昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原因です。

 サービス提供者が割り当てたランダムで変更不可なユーザーIDは、利用者にとって暗記しにくいという問題点もありますが、利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求すれば良いだけです。ID はブラウザに Cookie で記録するような設計にすれば、毎回入力するというユーザーの手間も省けます。ID がしっかりといった強度を保っていれば、ユーザーがパスワードを使いまわしたとしても、問題は生じません。

 専門家の高木浩光さんも、次のように述べています

おいおい、いつからパスワードを使い回さないのが利用者の責任になったんだ? 利用者にはパスワードを使い回す自由があると昔から言っているだろうが。

11570749 comment

コメント: 1999年 世界一?だったRSA演算LSIの開発秘話 (スコア 4, 興味深い) 27

by Anonymous Coward (#2679131) ネタ元: パソコンの電位の揺らぎからRSA秘密鍵などが解析される

1999年に世界一高速(推定)にRSA演算できた暗号LSIは、電流や電位を解析しても秘密鍵を読みとれない。
http://www.icanal.co.jp/ESD.html
計算していない間も電流をながしているからだ。これは意図してそうなったわけではない。設計者が消費電流のことまで考慮する余裕がなかっただけだった。
設計者が7セグメントLEDとかの簡単な制御回路を勉強する前に、暗号プロセッサを開発することになったからだ。これは大抜擢されたわけではない、いじめで無理難題を押し付けられた。RSA演算用暗号プロセッサは、ほぼ1人で設計している。簡単なプロセッサを作ったら、たまたま、IBMのメインフレームの仕様をフルスペック実装できて世界中の銀行に売れた。世界一のRSA演算用暗号プロセッサを1人で設計したあと、会社のVHDLの講習会で7セグメントLEDなどの制御回路を勉強した。演算器については数カ月、給料をいただいて仕事として勉強させてはもらったが。
ちなみ秘密鍵の値によって計算量が変わってくるが、秘密鍵の値によらず同じ時間で計算できるアーキテクチャであることも、秘密鍵を読みとれなくしている理由になっている。

11571024 comment

Printable is bad.のコメント: NTP を利用した DDoS 攻撃の模様 (スコア 4, 参考になる) 38

16歳高校生を書類送検=ゲーム会社にDDos攻撃容疑―全国初・警視庁 によると、

 同課によると、生徒は海外の攻撃サイトを利用。発信元のIPアドレス(ネット上の住所)を書き換え、正確な時刻情報を提供する「NTPサーバー」に対し、ゲームオン社のサーバーが繰り返し問い合わせをしたように偽装し、延べ約1100カ所の国内外のNTPサーバーから時刻情報を送信させ高負荷を与えていた。

とのことです。

これは、2013年12月ごろから流行になった比較的新しい攻撃手法です。

NTPサーバーを公開している人は、DDoS への悪用の被害を軽減するため、ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起 などを見て、対策して下さい。

11569623 comment

BIWYFIのコメント: Re:実在の名刺情報 (スコア 3, すばらしい洞察) 80

この種の問題は、根本的に回避困難。
特に名刺なんて、サンプルと実物が混じったら実質識別不能。

だから、出荷前にテストデータを完全に削除するビルドシステムが必須。
これが一番重要な点じゃないかな?

無論、ビルドシステム自体のバグも根絶不能だから、テストデータの扱いに注意する必要も在るが、これは、どの段階のテストかによるので、単純に非難出来ない。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...