パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済)」記事へのコメント

  • タレコミ人です。この件は、タレ込んだ後にBUGTRAQの方で進展がありました。その 進展を踏まえた補足を日記に書いておきました [srad.jp]。

    ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?

    タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、

    ...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略)
    which inform him

    • ちなみに同メンテナは、 以前書いたように [srad.jp]、XSS脆弱性を指摘されたときにも、 「これはバグではあるが、exploitが無いので、脆弱性ではない。」と誤った反論をしていたことがあります。

      一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる

      • by Anonymous Coward
        粘着して叩いてる暇があったら仕事しろよ。
        それとも仮名で叩くのがAISTの仕事か?

        そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
        今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!

        問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒

        • 「時限を切ってそれを過ぎたら公表する」

          そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
          実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。

          • 「時限を切ってそれを過ぎたら公表する」

            そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。

            期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。
            まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ

            • 問題発見者は、ソフトの作者にいちいち通知する「義務」はありません。また、自分で発見したものを公開する「権利」も持っています。

              にもかかわらず問題発見者がソフトの作者に「事前に通知する」のは、単にそのソフト自体のセキュリティだけでなく、そのソフトの利用者のセキュリティをも考慮しているからに他なりません。 そして「時限を設定」することにより、修正を強く促すわけです。

              もちろん、たいていのソフトには「無保証」と書いてあるので、ソフトの作者は修正する「義務」はありません。 ソフトの作者は修正しない権利を持っています。

              個人的な金銭目的の恐喝で

              • ほんとうに「やってる事は一緒」だというのなら、警察に相談するのがよろしいのでしょうね。

                いよいよ総会屋じみて来ましたね。
                総会屋が何で金取れるか知ってますか?
                企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。
                プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。
                警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。

                では、「どう

              • > 商業プログラムとフリーソフトでは、同じ対処をしても与えるダメージが全く違うという事に、指摘する側は気付くべきです。

                「フリーソフトウェアだから特別扱いしてほしい」ということなのでしょうか?
                フリーソフトウェアであるか商業プログラムであるかということは、利用
              • by Anonymous Coward on 2002年09月28日 19時05分 (#173661)
                「フリーソフトウェアだから特別扱いしてほしい」ということなのでしょうか?
                「特別扱いして欲しい」という期待を表明しているのではなく、別のアプローチをしないとスムーズなコミュニケーションの妨げになるという現実を指摘しているのです。
                うまくコミュニケーションを取るためのKnowHowとしてプログラマサイドの考え方を示しているだけで、それを要求する気はありません。
                最大限の情報が公開されるべきでしょう。
                その点には同意しますが、その「最大限の情報公開」は、何もプログラマから「コントロールしている実感」を奪い取ってまで「セキュリティ専門家」が行わなくても良いのではないですか?
                プログラマ自らが情報公開をするよう促し、お願いする事でも満たされる要件ではないですか?
                コワモテで「公表しろ」と迫るより、公表する事によりプログラマがより多くの報酬が受け取れると気付かせるような、もっと良いやり方があるのではないですか?

                商用プログラムに対して支払った報酬である「金」は、通常セキュリティーホールが見つかったぐらいで返却を求めるようなものではなく、どうしても取り戻すためには裁判でもするしかありませんが、フリーソフトプログラマに支払った報酬の「プライド」は容易に奪い取れてしまうものです。
                フリーソフトプログラマの唯一の報酬であるプライドを傷つけてしまうようなやり方は、商用プログラムでバグが見つかったからと言ってその会社に入り込んで黙って金を持って行くようなものです。

                イナゴを駆除するのに焼き払って有効だったからと言って、ゴキブリを駆除するのに家に火を付けるのはバカげたやり方だとは思いませんか?

                親コメント
              • > プログラマ自らが情報公開をするよう促し、
                > お願いする事でも満たされる要件ではないですか?

                普通はそうしているんじゃないですか?
              • by albireo (7374) on 2002年09月29日 5時35分 (#173896) 日記
                何もプログラマから「コントロールしている実感」を奪い取ってまで「セキュリティ専門家」が行わなくても良いのではないですか?
                「コントロールしている実感」を尊重しようとすることは間違っていないとは思いますが、別に義務ということはないでしょう。
                フリーソフトというものは基本的に使用者の自己責任で使用するものではないのでしょうか?
                その自己責任において使用者が情報交換することに作者が文句をつける根拠はないと思います。
                それはその情報をもっているのが一般的なユーザーでなく「セキュリティ専門家」でも同じ事ですよね。
                プログラマ自らが情報公開をするよう促し、お願いする事でも満たされる要件ではないですか?
                他の方も書いているように、一般的にはそうなっていますよね?
                期限を決められたら強要になるのでしょうか?
                対策が期限に間に合わないようであれば情報提供者に公開を待ってもらうように依頼することもできますよね。期限以内にして欲しいことは対策ではなく対応ですから。
                何の連絡もないからこそ、プログラマのコントロールを尊重するよりもリスクを放置する危険を重視して公開しているだけではないでしょうか。
                --
                うじゃうじゃ
                親コメント
              • 「コントロールしている実感」を尊重しようとすることは間違っていないとは思いますが、別に義務ということはないでしょう。

                もちろん「義務」なんかじゃありません。
                尊重した方がコミュニケーションが円滑に進むよというサジェスチョンを与えているだけです。 使用者が情報交換することに作者が文句をつける根拠はないと思います。

                それはその情報をもっているのが一般的なユーザーでなく「セキュリティ専門家」でも同じ事ですよね。

              • by kjm (1606) on 2002年09月30日 16時10分 (#174705) ホームページ
                「どうやって逃げるか」などと考えるような人間がつくったソフトは、とっとと捨ててしまうのが最善、と書いているのになあ。

                AC さんは、どのような報告形態が望ましいと考えていらっしゃるのかを書いた方がいいんじゃないんですか?
                親コメント
              • by Anonymous Coward
                あなたの主張はこれで終わりでしょ。
                http://srad.jp/comments.pl?sid=45784&cid=171787

                的を射ない反論?にまであなたが説明や反論をする。

                前掲の主張はなんだったのかと疑問なのですが。
              • by Anonymous Coward
                Webを拝見すると、

                指摘をした側も、「問題ない」と否定されると(そしてそれが間違っていると)それに再反論するのに余計なエネルギーを必要としてしまうのが人情だと思います。

                という部分を引用して「その通りの展開になってる」って書いてるけど、あれは早く引っ込めた方がいいんじゃない?
                明らかに間違ってるのは「パスワードのMD5値の事をパスワードと書いてるjbeefさん」であって、それを指摘した側が「間違ってない」と否定されて(そしてそれは明らかに間違い)それに再反論するのに余計なエネルギーを使っ

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...