パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」記事へのコメント

  • 携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。
    専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。
    ベーシック認証、クライアント証明は考慮外です。

    step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめる
    step1: パスワード送信をPOSTにしてPOSTのみ受け付ける
    step2: ログイン画面以外は、パスワードを利用せずにcookieを使う
    step3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使う
    step4: cookieにはsecureフラグを

    • by Anonymous Coward
      パスワードを使わずTLSなんかでクライアント認証ををを、という発想もそろそろほしい。
      パスワードめんどくさい。

      SSHでパスワード認証使ってる? なんで? と考えてみれば。
      • パスワードを使わずTLSなんかでクライアント認証

        TLS(SSL)クライアント認証は、技術的には理想的な解だと思うんだけど、実用上は問題があるんだよね。
        まず、仕組みが一般人には理解しにくいこと。なぜそれで安全と言えるのか、ということが理解できないと、正しい利用も難しい。
        次に、パスワードみたいにこっちのPCでもあっちのPCでも使える、と言うわけにはいかないところ。これは技術的な問題でもあるんだけど。
        これを解決するために、あっちのPCにもこっちのPCにもクライアント証明書をインストールして回る、という手も無くはないけど、それだと、

        パスワードめんどくさい

        から、パスワードをあちこちのPC(の認証情報マネージャ)に保存して回る、というのと変わらないんだよね。

        • by Anonymous Coward
          2000円程度で標準仕様な簡易スマートキーが量販店で売ってれば良い。

          今なら特にUSBサポートしないマイコンでも力技でUSB信号出せるんだし、マイコン1石なら十分その程度で作れるはずなんだが・・・
          • 2000円程度で標準仕様な簡易スマートキーが量販店で売ってれば良い。

            仕組みの理解できないものに、2000円も払うだろうか?
            電子マネーですら、いろんなポイント優遇なんてものがあって普及が進んだことを考えれば、初期投資2000円で目に見えた(理解できる)メリットが無い、というのはいかにも高い気がする。

            しかも、数年に一回程度の更新が必要だし、そのための認証局の運用だってコストがかかる。例えば、VeriSignのBMS証明書・クライアントのが14,385円/3年間。まあ、VeriSignはオーバースペックだろうと思うけど、半分だったとしても、素直にコストをスマートキーに載せれば、2000円/年すら不可能ってことがわかるね。

            よほど巧く考えられたビジネスモデルがないと実現不可能なんじゃないかな?

            親コメント

開いた括弧は必ず閉じる -- あるプログラマー

処理中...