パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済)」記事へのコメント

  • タレコミ人です。この件は、タレ込んだ後にBUGTRAQの方で進展がありました。その 進展を踏まえた補足を日記に書いておきました [srad.jp]。

    ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?

    タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、

    ...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略)
    which inform him

    • ちなみに同メンテナは、 以前書いたように [srad.jp]、XSS脆弱性を指摘されたときにも、 「これはバグではあるが、exploitが無いので、脆弱性ではない。」と誤った反論をしていたことがあります。

      一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる

      • by Anonymous Coward
        粘着して叩いてる暇があったら仕事しろよ。
        それとも仮名で叩くのがAISTの仕事か?

        そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
        今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!

        問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒

        • 「時限を切ってそれを過ぎたら公表する」

          そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
          実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。

          • 「時限を切ってそれを過ぎたら公表する」

            そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。

            期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。
            まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ

            • 問題発見者は、ソフトの作者にいちいち通知する「義務」はありません。また、自分で発見したものを公開する「権利」も持っています。

              にもかかわらず問題発見者がソフトの作者に「事前に通知する」のは、単にそのソフト自体のセキュリティだけでなく、そのソフトの利用者のセキュリティをも考慮しているからに他なりません。 そして「時限を設定」することにより、修正を強く促すわけです。

              もちろん、たいていのソフトには「無保証」と書いてあるので、ソフトの作者は修正する「義務」はありません。 ソフトの作者は修正しない権利を持っています。

              個人的な金銭目的の恐喝で

              • ほんとうに「やってる事は一緒」だというのなら、警察に相談するのがよろしいのでしょうね。

                いよいよ総会屋じみて来ましたね。
                総会屋が何で金取れるか知ってますか?
                企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。
                プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。
                警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。

                では、「どう

              • AC さんには利用者の安全性という観点は全く欠如しているようですね。
                「初っ端にいきなりコワモテで来られれば」という特定条件下での行動として「逃げる」と書いてるだけなのに、そういう前提条件を無視して「逃げるようなヤツは思いやりが無い」ですか。はぁ。
                AC さんの言う「初っ端にいきなりコワモテで来られれば」が成立するケースは珍しくも何ともありませんし、そもそも成立しない場合については議論不要ですよね?
                「セキュリティーホールの発見」というのは、自分で見つけたのであれ、他人に指摘されたのであれ、「他者からの賞賛」を減ずるもので、フリーソフトプログラマの糧に対する直接的ダメージです。
                そのダメージを受けている所に「○○日までに~」という他からの「コントロール」が入る、あるいは、プログラマ本人に知らせる前に他者へセキュリティーホールを公表されてしまうと「自分がコントロールしている」という実感さえも失ってしまう結果となります。
                その上、「セキュリティ専門家」が自分のプログラムのセキュリティーホールを見つけて公表する事により賞賛を浴びるというのは、自分が開墾したノウアスフィアに入り込んで成果物を奪っていく行為にも等しい事です。
                実際に「逃げ」たりする人のソフトは、そうなる可能性がありますね。

                一方で、素早い fix と適切な情報開示により、利用者の賞賛を得る場合だって多々あるわけです。slashdot.jp を含め、賞賛が足りないという面がないとは言いませんが、中長期的には「よくメンテナンスされている」という評価になると思います。

                セキュリティ脆弱性の報告なんて、要は bug report の特殊な形にすぎないと思うんですが、なぜそこまで恐れる必要があるんでしょう。さくっと fix して制御を奪い返してしまえばそれでいいと思うのですが。 実際問題、「フリーソフトだからこそ」商用ソフトよりも素早い fix が実現され、「やっぱフリーソフトの方が安全だね」という評価が得られる事の方が多いと思うのですが。
                ところで、あなたはノウアスフィアの開墾 [cruel.org]という論文を読んだことがありますか?
                「逃げ」るなんてヨワヨワな態度と、「Hacking」「ハッカー」「フリーソフト」とは、私の頭の中では結び付かないのですが、AC さんの頭の中では結びつくのですか?
                親コメント

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...