パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済)」記事へのコメント

  • タレコミ人です。この件は、タレ込んだ後にBUGTRAQの方で進展がありました。その 進展を踏まえた補足を日記に書いておきました [srad.jp]。

    ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?

    タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、

    ...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略)
    which inform him

    • ちなみに同メンテナは、 以前書いたように [srad.jp]、XSS脆弱性を指摘されたときにも、 「これはバグではあるが、exploitが無いので、脆弱性ではない。」と誤った反論をしていたことがあります。

      一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる

      • by Anonymous Coward
        粘着して叩いてる暇があったら仕事しろよ。
        それとも仮名で叩くのがAISTの仕事か?

        そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
        今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!

        問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒

        • 誤解があるようですが、私は叩くということをしていません。

          今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?

          誤入力ではなく一度変更している場合です。再び元に戻している場合には、変更が必要です。また、他のサイトで同じパスワードを使用している場合にも警戒が必要で、これらのことは知らされるべきです。

          それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!

          パスワードによっては短時間で復元されることがあります。

          問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、

          私は問題を見つけたのではありません。

          • 誤解があるようですが、私は叩くということをしていません。

            あなたは他人の痛みがわからない人なんですね。

            また、他のサイトで同じパスワードを使用している場合にも警戒が必要で

            「MD5値からパスワードを復元できる」という前提が成り立てばその通りですが、そういう前提は成り立ちません。

            パスワードによっては短時間で復元されることがあります。

            は?何言ってるんですか?
            類推可能なパスワードをMD5して該当MD5値と一致したら「復元された」と言ってますか?
            それはMD5値を復元したのではなく、類推したパスワードをMD5値で検証しただけ

            • 「MD5値からパスワードを復元できる」という前提が成り立てばその通りですが、そういう前提は成り立ちません。

              あなたの用語の使い方に従えば、それは間違いですね。 MD5値からパスワードを「検証」できるという前提が成り立てば「その通り」であるわけで、その前提は成り立ち得ます。

              は?何言ってるんですか? 類推可能なパスワードをMD5して該当MD5値と一致したら「復元された」と言ってますか?

              上に書いたとおりです。それを広い意味で「復元」と呼ぶか、狭い意味で「検証」と呼ぶか、用語の使い方次第です。

              パスワードが類推可能なのであれば、ターゲットへ類推

              • もしかしてあなたはいわゆる辞書攻撃というものをご存じないのでしょうか?

                もしかして私バカにされてるんだろうか?
                まぁACだからいいけど。

                私は、MD5値が漏れる事=パスワードが漏れる事、という論理が飛躍しすぎていると言ってるのであって、辞書攻撃で解読されてしまう程度のパスワードはユーザのパスワード管理の問題だと思います。

                そもそも、MD5値が漏れるのが「パスワード漏洩の脆弱性」と言うのであれば、APOPも「パスワード漏洩の脆弱性」を抱えている事になりますね。
                SlashcodeにAPOP以上のセキュリティを求めるあなたのバランス感覚がおかしいとは思いませんか?

              • もしかして私バカにされてるんだろうか?

                ご存じない(失念を含む)からとしか、あり得ないご発言があった(「ターゲットへパスワードを入れてみれば検証できます」の部分がそれに該当)ため、そのように書いたしだいです。違いますか?

                辞書攻撃で解読されてしまう程度のパスワードはユーザのパスワード管理の問題だと思います。

                最近の辞書攻撃の能力はかなりのものがありますが、それに絶えうるパスワードをつけている人がどれくらいいるかということと、いずれにしても、だからといってチャラになる話ではないでしょう。

                私は、MD5値が漏れる事=パスワードが漏れる事

              • スラッシュドットへのログインに関しては、MD5値が漏れることとパスワードが漏れることは同等です。

                同等の効果が得られても同じ事ではありませんね。
                指摘する側が、そういう「センセーショナルな嘘(というか誇大表現)」をするから反発を受けるのでは?

                アカウントが乗っ取られることを一般読者にわかるようにパスワードが漏れたと表現しまし

              • スラッシュドットへのログインに関しては、MD5値が漏れることとパスワードが漏れることは同等です。

                同等の効果が得られても同じ事ではありませんね。

                まず、スラッシュドットへのログインに関することも関しないことも含め、今回の弱点の影響は、「(M+A): パスワードの MD5 の漏洩+アカウント乗っ取り可能」です。これを jbeef さんはタイトルの中で「(P): パスワードが漏洩」と表現しました。 #171458 [srad.jp] の AC さんは「(A): アカウント乗っ取り可能」と表現するべき、と主張しているのですよね。

                Slashcode に限らない一般論では、弱点の大きさは (P) ≧ (M+A) ≧ (A)

                --
                鵜呑みにしてみる?
              • タイトルに正確な情報をすべて詰め込むことはできないので、タイトルの表現が多少不正確だったり足りなかったりするのはしかたのないことです。

                今回 jbeef さんが、正確には (M+A) であるこの弱点を多少不正確でもいいから短く書こうとして、小さすぎる (A) という書きかたではなく大きすぎる (P) という書きかたを使った理由も、ぼくにはわかりません。

                (ユーザ向けのニュースにおいて)小さすぎる書き方は、責任を問われかねないという点に注意してみてください。

                また、「P」は原因です(もたらされる脅威の)が

              • (ユーザ向けのニュースにおいて)小さすぎる書き方は、責任を問われかねないという点に注意してみてください。

                一回のことだけ見れば、不正確だが大きすぎる書きかたをすれば、不正確で小さすぎる書きかたをするより、スラッシュドットはユーザに対して責任を果たしたと言えるでしょう。しかし、狼少年になってしまってはかえってマイナスになる可能性もあります。

                不正確に小さく書くのと不正確に大きく書くのとでどちらが読者のためなのかはそう簡単に判断できることではないと思います。

                また、「P」は原因です(もたらされる脅威の)が、「A」は原因ではなく(もたらされる

                --
                鵜呑みにしてみる?
              • 不正確に小さく書くのと不正確に大きく書くのとでどちらが読者のためなのか はそう簡単に判断できることではないと思います。

                私はタレコミの本文中で(また日記での補足において)正確に書きました。タ イトルについてが程度問題となることは、tixさんもおっしゃるとおりで、そ の上で述べたのが、タイトルにおける「(ユーザ向けのニュースにおいて)小 さすぎる書き方」の話をしたものです。

                また、「P」は原因です(もたらされる脅威の)が、「A」は原因ではなく(も たらされる)脅威です

                いいえ、ぼくはここでは「パスワードが漏洩する」とい

              • Aと言っただけでは別のタイプの(別の原因の)脆弱性(例えばセッションID 盗用の場合は一定期間だけアカウント乗っ取りの脅威にさらされる)のことと区別できていない(ので不十分な説明)ということを述べています。原因Pを示せば、一時的ではなく常時Aの危険に晒されること(追記すれば「パスワードを変更している場合には脅威がない」ことも)を説明し切れる点で厳密性があることを述べています。

                ならば、完全に間違いでしょう。今回 (A) が起きる原因は (P) ではなく、パスワードの MD

                --
                鵜呑みにしてみる?
              • ならば、完全に間違いでしょう。今回 (A) が起きる原因は (P) ではなく、パスワードの MD5 が漏洩することなのですから。

                スラッシュドットへのログインに関しては、PもMも結果に与える影響が同等です。私は、Aをタイトルとすることの不十分さを説明するために上のことを書きました。何か間違っていますか?

                そうですか? タイトルを大きく書いて必要以上に人目を引いたら、それはそれで問

              • スラッシュドットへのログインに関しては、PもMも結果に与える影響が同等です。私は、Aをタイトルとすることの不十分さを説明するために上のことを書きました。

                その2点は間違っていません。でも、 (P) と (M) はスラッシュドットへのログイン以外の点で影響が異なります。

                短いタイトルに厳密さを求めるのには限界があるというというのはtixさんもおっしゃったではないですか。

                そうです。だから、不正確になったのを責めるつもりはありません。でも、「(M+A) は正確であり、 (P) は不正確である」という点を jbeef さんが否定しているように見えたので、反論していました。それと

                --
                鵜呑みにしてみる?
              • 「(M+A) は正確であり、 (P) は不正確である」という点を jbeef さんが否定しているように見えたので

                というか、タレ込み時点では「(P)は不正確である」という認識は無かったのでは?
                確かにタイトルは字数の制限もあるので、「(M+A)では長すぎるので(P)とした」でも許容範囲ぎりぎりいっぱいだとは思いますが、多くの字数を割いて説明できるはずのタレ込み本文でも

                私のサーバのアクセスログを「grep slashdot | grep passwd」してみたところ、ユーザ名とパスワードを含むRefererが1件見つかった

                と、(M)ではなく(P)だ

              • >多くの字数を割いて説明できるはずのタレ込み本文でも
                >と、(M)ではなく(P)だと明確に書いてある。

                本文の初出で、「そのURLにはユーザ名とパスワード(のMD5値)が含まれているので、」と書いてあるので、そんなことはないでしょう。
              • 本文の初出で、「そのURLにはユーザ名とパスワード(のMD5値)が含まれているので、」と書いてあるので、そんなことはないでしょう。

                その初出の部分で「(のMD5値)」と括弧書きで書かれているという点こそ、まさにjbeefさんが「(P)==(M)である」と認識していた(=(P)が不正確な表現であるとは認識していなかった)という証左ではないでしょうか?
                括弧書きというのは通常「無くても意味は通じるが、詳しく説明するため」に付けるものであって「不正確な表現を訂正するため」に使われる記法ではありません。

                プログラマにとって(これは商用プログラムのプ

              • #171458 と同じかたですか? 同じでも同じでなくてもいいのですが、みんな匿名だと結局何人で議論しているのかわからず気になるので、もしよければ教えてください。

                その初出の部分で「(のMD5値)」と括弧書きで書かれているという点こそ、まさにjbeefさんが「(P)==(M)である」と認識していた(=(P)が不正確な表現であるとは認識していなかった)

                --
                鵜呑みにしてみる?
              • #171458さんとは別人です。私が書いたのは#173647,#172697, #172510ぐらいかな?あと下の方の「Re:そもそもパスワードって漏れるもの」でいくらか茶々入れを書いたような...

                私はいわゆる「商業プログラマ」ですが、「Re:私刑、ですか……」という方も興味深いですね。
                というか、気持ち的には商業プログラマであってもさほど変わりません。ただ給料貰ってやっ

              • #171458さんとは別人です。私が書いたのは#173647,#172697, #172510ぐらいかな?

                多少流れがわかりやすくなりました。どうも。

                私はいわゆる「商業プログラマ」ですが、「Re:私刑、ですか……」という方も興味深いですね。

                たくさんのコメントをすべて読んではいませんが、このコメントは読んでみました。たしかに面白いです。ソフトウェアの開発者と弱点の発見者のコミュニケーションがどうしてうまくいかないかを説明できる可能性がありますね。

                でも、その後のコメントで、やっぱり「ハッカーコミュニティとセキュリティコミュニティの対立」(?)という雰囲気のフレ

                --
                鵜呑みにしてみる?
              • 一連のコメントしてる商業プログラマACです。

                ソフトウェアの開発者と弱点の発見者のコミュニケーションがどうしてうまくいかないかを説明できる可能性がありますね

                「ハッカーコミュニティ」が「贈与の文化」であるのに対して「セキュリティコミュニティ」は「狩猟の文化」なのかな?という仮説を立ててみました。

                基本的に「セキュリティコミュニティ」は自ら何かを生み出すのではなく、そこにある「何か(セキュリティホールとか)」を狩る事によってだけ「成果」を上げる事ができます。

                「狩猟」の場ではほんのわずかの失敗も致命的な結果をもたらしま

              • by Anonymous Coward on 2002年10月01日 3時11分 (#175090)
                「狩猟の文化」なんちゅー大層なもんじゃなくて、単なるいじめっ子に見えるがな。
                自分の誤りを認めないのは認めてしまうと次にいじめられるのは自分だし、強く見せようとするのは本当は弱いヤツだからだろ。
                巨根主義のヤツはたいてい短小っていうのと一緒で、本当は弱いのに強くありたいと思うから強がってみせる。本当に強いヤツは強がったりしない。
                あっちのスレで「逃げる」というのは、そういう気持ちになると書いてあるだけで実際逃げてる訳じゃないのに、それでも執拗に叩いているのは自分より弱い者しか叩けないいじめっ子の特徴。弱みを見せたら一斉に叩く。これも強くありたいという自分の願望の裏返し。
                しかしあっちのACもバカだね。相手の気持ちを理解するという事ができないいじめっ子にいくらプログラマの気持ちを説明しても理解してもらえるはずがない。元々相手の気持ちなんて理解する気が無いんだからしょうがない。

                自分が仲間と認めたヤツが叩かれれば、その叩かれた原因が何であれ仲間を助けるというのもいじめっ子の特徴。次に自分が叩かれた時に助けてもらわなきゃいけないからな。
                あっちのスレでofficeが暴れてるけど、あれはどう見ても擁護はできんだろ。それを必死で擁護してるのは傍で見てて可哀相になってくるな。
                officeの言ってる事が正しいか正しくないか以前に、マトモな社会生活を営んでるヤツはあそこまで書かんだろう。普通。
                まあ同じ敵を叩く事によって仲間意識を確かにしようという、ただそれだけの行動に見えるな。
                本当に正義のためにやってるんだというのならofficeを止めようとするだろ。あの状況だったら。

                セキュ厨はユーザの安全のためなら何やってもいいと思ってるみたいだが、いじめっ子があいつは臭いからいじめていいんだとか、あいつはグズだからいじめていいんだという、いじめていい理由付けをしてるのと一緒で、本当はユーザの事なんて考えてなくて自分がいじめる理由をユーザの安全に求めてるだけにしか見えんな。

                親コメント

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...