パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ユニクロのTwitter連動キャンペーンサイトで脆弱性騒ぎ発生」記事へのコメント

  • プレスリリース [uniqlo.com]を見ると

    このパスワードはTwitterと通信される際のみ利用され

    だから平分で通信するなって(後述)

    パスワードが漏洩している、という情報がインターネット上に流れておりますが、そのような事実はございません。

    漏洩させたわけではないというのは理解するが、平分で通信していたのだから、応募した人の IDとパスワードが盗聴可能な状態で懸賞サイトが構築されていたわけでしょ?

    この件ではまとめサイト [uinyan.com]もあるが、オンラインメディアのInternet Watch の続報 [impress.co.jp]を元に考察してみる。

    IDやパスワードの通信が暗号化されていないというユーザーからの指摘を受け、

    それなら「平分で通信してました」と認めたわけか

    SSLで通信を行うように変更

    ダメでしたって事ね

    その旨をパスワード入力画面に表記

    それはいいんだが

    • Re: (スコア:0, 荒らし)

      by Anonymous Coward

      >特に、Internet Watch の画像で https ではなく、 http となっている事に注目!
      >URL は http なのに「SSLにより暗号化」してますって安心させようとするのがまずいね。
      >Flash で SSL で通信、じゃなくて、実際は SSL で通信などしていないのに、Flash で「SSL により暗号化」って表示させてるだけだな。

      httpで閲覧中のページからクライアントからサーバに送信するデータのみhttpsで取り扱う、
      というのはごく普通にやることですが、ご存じない?

      • by Anonymous Coward on 2010年05月27日 23時33分 (#1770621)

        httpで閲覧中のページからクライアントからサーバに送信するデータのみhttpsで取り扱う、
        というのはごく普通にやることですが、ご存じない?

        そんな間抜けなことが、ごく普通に行われているとは知りませんでした。

        #釣りだと信じたい。

        親コメント
        • by Anonymous Coward on 2010年05月28日 1時36分 (#1770673)
          残念ながらそれなりに見ることのある実装。
          ニコニコ動画とかも全ページにログインフォームが表示されていた頃はそういう実装だった。
          今はログイン用リンクだけで、そこはhttps。

          普通とは呼びたくないから、よく見かける残念実装と呼んでおこう。
          親コメント
          • by Anonymous Coward

            でもその「残念」がどういうロジックで「残念」なのかを理解している人間がここには少ない(減った)気がする。
            便乗犯じゃないが、とりあえず 分 か っ た フ リ で騒いでる人間のなんと多いことか。
            twitterで大騒ぎしてたのもその類の人間ばかりだったしなぁ。

            本気で心配してるなら解決方法を見える形で残せよ、とか思う。ブログとかさ。
            その情報が載ってるページを張るだけで印象は変わるのに。

            • by Anonymous Coward

              本気で心配してるなら解決方法を見える形で残せよ、とか思う。ブログとかさ。

              解決方法? 「httpsで実装しろ」の一言以外に何と言えば良いのでしょうか? ブログに書くほどのことですかね?

              その情報が載ってるページを張るだけで印象は変わるのに。

              「httpではページを改竄される可能性がある」なんて初歩的な情報にリンクが必要なんでしょうか?

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...