パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済)」記事へのコメント

  • タレコミ人です。この件は、タレ込んだ後にBUGTRAQの方で進展がありました。その 進展を踏まえた補足を日記に書いておきました [srad.jp]。

    ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?

    タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、

    ...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略)
    which inform him

    • ちなみに同メンテナは、 以前書いたように [srad.jp]、XSS脆弱性を指摘されたときにも、 「これはバグではあるが、exploitが無いので、脆弱性ではない。」と誤った反論をしていたことがあります。

      一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる

      • by Anonymous Coward
        粘着して叩いてる暇があったら仕事しろよ。
        それとも仮名で叩くのがAISTの仕事か?

        そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
        今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!

        問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒

        • 「時限を切ってそれを過ぎたら公表する」

          そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
          実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。

          • 「時限を切ってそれを過ぎたら公表する」

            そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。

            期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。
            まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ

            • 問題発見者は、ソフトの作者にいちいち通知する「義務」はありません。また、自分で発見したものを公開する「権利」も持っています。

              にもかかわらず問題発見者がソフトの作者に「事前に通知する」のは、単にそのソフト自体のセキュリティだけでなく、そのソフトの利用者のセキュリティをも考慮しているからに他なりません。 そして「時限を設定」することにより、修正を強く促すわけです。

              もちろん、たいていのソフトには「無保証」と書いてあるので、ソフトの作者は修正する「義務」はありません。 ソフトの作者は修正しない権利を持っています。

              個人的な金銭目的の恐喝で

              • ほんとうに「やってる事は一緒」だというのなら、警察に相談するのがよろしいのでしょうね。

                いよいよ総会屋じみて来ましたね。
                総会屋が何で金取れるか知ってますか?
                企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。
                プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。
                警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。

                では、「どう

              • あなたは#173380 [srad.jp]を正気で書きましたか?もしもネタだとしたら、全く笑えません。

                > 「とりあえず防衛しよう」と考えるのは罪な事ですか?

                即座に対策をとらないことは「防衛」じゃなくて攻撃の続行なんですが、わかりませんか?それともわざとわからないフリをしてるのですか?

                > プライドだけを糧にしているフリーソフトプログラマのプライドに付けられた傷は癒す方法がありません。

                何をプライドにすべきかを完全に誤っているからそんな訳のわからないことを言うのですね。「人を危険に陥れていること」を黙っていてもらえれば「プライド」ですか。一見動くように見えるけれど、実はでたらめなプログラムをばらまき人を陥れ続けることによって得られたプライドがそんなに大切ですか?無能に「無能」と知らしめないことが思いやりなんですか?こりゃお笑いだ。自分の誤りを指摘してもらった時に、迅速かつ適切に対応や謝罪を行うということを積み重ね、信用を勝ち得れば、それは大いにプライドになるでしょうけどね。

                > ハッカー文化では、こうした行動はいささか強力にタブー視されている

                これは「ハッカー」の狭いコミュニティの中の話で、ユーザに強要すべきものだとはどこにも書いてありません。あなたは、

                >そこに書かれたフリーソフトプログラマの思考形態をじっくりと理解できるだけ丁寧に読

                む能力「も」ないようですね。
                --
                office
                親コメント
              • はぁ。前提をすっ飛ばして結果だけで文句を付ける「セキュリティ専門家」はこれで3人目だ。やっぱり「セキュリティ専門家」はみんなそうだと考えても良さそうですね。

                仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか?
                商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟を起こしたら、そのメーカは「金を返却する必要がある程の瑕疵は無い」と反訴してくると思いませんか?

                「人を危険に陥れていること」を黙っていてもらえれば「プライド」ですか。

              • >jbeefさんの「同じ効果を与えるから同じ物」というトンデモ理論や、あ
                >なたのその傍若無人さを見るに、「セキュリティーホールの報告をしても
                >取り合ってくれない」「強制力を働かせないと動かない」というのは、単
                >にあなた方「セ
              • > 無能に「無能」と知らしめないことが思いやりなんですか?こりゃお笑いだ。

                お前何様のつもりだ?
                そこまで言い切るのならてめえで代替パッチなりを作者に提供してから言え。
              • あ~、なるほどネタのつもりなのね、哀れですね。

                >相手が包丁振りかざして来たら謝るより先に逃げませんか?

                包丁つきつけた相手が逃げなかったら、ゴロ呼ばわりすると。ほほう。

                >商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟

                誰がそんな事を言いました?

                > 「謝罪」を要求する

                いゃ、私はそのような主張は一度もしていません。
                なぜなら、そのような議論をしていないからです。

                「ノウアスフィアの開墾」は、ハッカー文化の中の人々、つまりプログラミングをすることができる人を読者として想定してます。プログラミングできて、他人の愚かなプログラムを直してあげることができるにもかかわらず、評論して何もしないのはハッカーの態度としてよくないと書いてあるのです。なぜ「アカデミズム」と対比して書いてあるのかわからないのですか?

                あなたはネットにいる人々が皆ハッカーになってプログラミングできるようになることを「コミュニケーション」と勘違いしているようですが、ユーザがそういうあなたの傲慢な思いに従わなければならない理由はどこにもありません。
                --
                office
                親コメント
              • > 代替パッチなりを作者に提供

                自分が作ったプログラムが手に負えなくなったら、ユーザに労働まで強要するんですか?無能ですね。
                --
                office
                親コメント
              • 雑誌や各種イベントでのご活躍はいつも拝見させていただいております。ますますのご活躍を期待しております。

                さて、この場合は、売り言葉に買い言葉ではないでしょうか。あなた様の立場を考えれば、あまり感情的になられないほうがよろしいかと存じます。あなた様にとってデメリットの方が大きいでしょう。

                もう一点。オフトピなのですがお願いがあります。

                他力本願堂さんとともにあなた様が行ったNHKのサイト脆弱性の指摘はどのようになったのか、あなたの掲示板で最終結果をご報告いただきたく存じます。(あなた様主催のイベントや、ML、掲示板では情報が細切
              • もうあきれて物も言えないって感じだな

                ユーザに労働まで強要するんですか?

                あなたが「強要」されてると考えている「労働」の何千倍、何万倍、物によってはそれを上回る「労働」の成果であるソフトをフリーソフトプログラマは無償で提供してるんですよ。
                それを「無能」呼ばわりですか。

                kjmさん。頼むからofficeは「セキュリティ専門家」じゃなくて「セキュリ

              • きゃは♪ 無能の上に恥知らずとはね。

                > 何千倍、何万倍、物によってはそれを上回る「労働」の成果であるソフト

                を無価値にしてしまうそのセキュリティホールを直そうともせず、貢献してきた人々全てを貶める無能の輩が言うわ言うわ。けらけら。

                > ××さん。頼むからofficeは「セキュリティ専門家」じゃなくて「セキュリティゴロ」だと言ってください。

                議論で勝てなくなったら、泣き落としですか。

                > 48時間以内の返答を要求します。

                盗人猛々しいという言葉があるが、この場合は何というのかねぇ。
                --
                office
                親コメント
              • あともうひとつ、あれだけ叩き続けた伊藤忠関連の話がどこでどう収束したんだか、全然分からない。
                最後の最後に持ち上げるような事をちょっとだけ書いて、それだけでしょ。
                それともまだ終わってないの?

                人のミスを晒してネタにして飯食ってるんだから、事の顛末くらいはしっかり締めて下さい。良かれ悪しかれ。
              • 別にoffice氏と擁護するつもりは毛頭ありませんが違和感を感じたので。

                > 仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか?

                逃げるかもしれませんがせめて逃げた後に「何故包丁をつきつけられたのか?」くらいは考えると思います。
                もし、つきつけられた瞬間に覚えがあったらその場で謝罪します。

                果たしてその行為が包丁をつきつけられるほどであるのか?という議論については無駄だと思います。
                ユーザーが皆同じ考え方をしているのであればサポートの必要はありま
              • 脆弱性対策を徹底的にやったとか、色々改善したみたいですけどそれを私が間接的に伝えたって意味がないじゃないですか。
                報告はまず伊藤忠テクノサイエンスがすべきものでしょ。知りたいならまず伊藤忠テクノサイエンスに聞いてください。
                それに伊藤忠テクノサイエンスの立場だってあるでしょうに、ここはそういうスレじゃなかったのですか?

                > 人のミスを晒してネタにして飯食ってるんだから、

                いったいどこをどう曲げたらこうなるのかわからん。が、事の顛末が気になっていて、私にききたい人がいることはわかりました。
                --
                office
                親コメント
              • あれ?

                あと、CTCの指摘された方は別人ですよ。ACじゃ区別がつきませんよね?

                現時点のステータスはofficeさんのご報告を元に、私の考えや対応策などをまとめている最中です。私の考えがまとまった時点で
              • by Anonymous Coward
                しかしなんというか、何故こういう口調になるのだろ。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...