パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ユニクロのTwitter連動キャンペーンサイトで脆弱性騒ぎ発生」記事へのコメント

  • パスワードも入力する必要がある(Twitterへの連携に使用されるため、平文で保存されると思われる)

    んんん?何か変じゃね?
    正しくは「Twitterへの連携に使用されるため、復号可能な形式で保存されると思われる」でしょ?
    流石に平文で保存する馬鹿は今時いない・・・よね?

    • 復号可能な形式で保存される

      どうやって復号するの?パスワード?そのパスワードはどこに保存してあるの?そのパスワードは「復号可能な形式で保存され」てるとか?それって安全なのかな?

      • by Anonymous Coward

        どうやって復号するの?パスワード?そのパスワードはどこに保存してあるの?そのパスワードは「復号可能な形式で保存され」てるとか?それって安全なのかな?

        これは/.Jの記事に対しての、暗号化してたら平文で保存じゃないよね?という指摘です。
        平文で通信すんなとかパスワード保存するならハッシュにしろ(今回は無理かもしれないけど)とか、そういうユニクロへの指摘じゃなくて。

        • これは/.Jの記事に対しての、暗号化してたら平文で保存じゃないよね?という指摘です。

          それを解った上で、そうだとしても大差ないんじゃないか、という指摘です。ハッシュではダメなケースなんですから。
          いや、正直今回のケースをよく理解しているわけじゃないんですが。

          • (元のACとは関係ありません。主張内容も元のACとは大分違います)

            > それを解った上で、そうだとしても大差ないんじゃないか、という指摘です。
            「大差」ではないかも知れませんが、有意な差がありますね。

            今回の件で問題となっている3点のうちの1点は「データベースが外部からアクセスできる」ことだそうですから、そこに平文のパスワードが保存されていたとすると、パスワードがそのまま取れますよね。
            暗号化(たとえばAESのような復号可能なもの)して保存されていて、仮にその暗号キーがプログラムにハードコーディングされているなどデータベース上に無いとすれば「データベースを外部からアクセスする」ことによっては漏洩されない訳です。

            もちろん、「通信が暗号化されていない」という他の問題点により漏洩する可能性もありますが、「暗号化されていない通信の傍受」よりも「外部アクセスを許されているデータベースへのアクセス」の方が敷居が低いですから、有意な差だと思います。

            だからデータベースに暗号化されて保存されていると結論するつもりもないですし、問題となっている3点は問題であることには変わりはありません。
            (そういう意味では「大差」ではない)
            --
            Best regards, でぃーすけ
            親コメント
            • 有意な差がありますね。

              確かに差はありますね。

              仮にその暗号キーがプログラムにハードコーディングされているなどデータベース上に無いとすれば

              その仮定は、非常にあやしいですよね。もしその仮定が正しいとしても、その暗号キーは何パターンあるのでしょう?その辺りを考えると

              「データベースを外部からアクセスする」ことによっては漏洩されない

              と主張するのはちょっと苦しい気がします。自分のパスワードを登録すれば、暗号文と平文の組を一つ入手でき、後は、ローカルで総当り攻撃が可能。暗号キーが一パターンだと、残りすべてのパスワードが復号できます。
              暗号キーがデータベース上に無く、何十パターンも使い分けている、ということならまだマシですが、そんなところにまで気が回るなら、データベースを外から自由にアクセスさせるなんて真似はしないような気がします。

              ま、差が無いとは言いませんけどね。

              親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...