パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ユニクロのTwitter連動キャンペーンサイトで脆弱性騒ぎ発生」記事へのコメント

  • プレスリリース [uniqlo.com]を見ると

    このパスワードはTwitterと通信される際のみ利用され

    だから平分で通信するなって(後述)

    パスワードが漏洩している、という情報がインターネット上に流れておりますが、そのような事実はございません。

    漏洩させたわけではないというのは理解するが、平分で通信していたのだから、応募した人の IDとパスワードが盗聴可能な状態で懸賞サイトが構築されていたわけでしょ?

    この件ではまとめサイト [uinyan.com]もあるが、オンラインメディアのInternet Watch の続報 [impress.co.jp]を元に考察してみる。

    IDやパスワードの通信が暗号化されていないというユーザーからの指摘を受け、

    それなら「平分で通信してました」と認めたわけか

    SSLで通信を行うように変更

    ダメでしたって事ね

    その旨をパスワード入力画面に表記

    それはいいんだが

    • Re: (スコア:0, 荒らし)

      by Anonymous Coward

      >特に、Internet Watch の画像で https ではなく、 http となっている事に注目!
      >URL は http なのに「SSLにより暗号化」してますって安心させようとするのがまずいね。
      >Flash で SSL で通信、じゃなくて、実際は SSL で通信などしていないのに、Flash で「SSL により暗号化」って表示させてるだけだな。

      httpで閲覧中のページからクライアントからサーバに送信するデータのみhttpsで取り扱う、
      というのはごく普通にやることですが、ご存じない?

      • by Anonymous Coward on 2010年05月28日 17時33分 (#1771082)
        もうだいぶコメントぶら下がっていますが・・・

        予算的な問題等で妥協せざるを得ない事が多いのは事実ですが
        「パスワードやクレジット番号だけ暗号していれば大丈夫でしょ?
        どこでもやっている実装だし何か問題なの?」
        というのは同意しかねます

        SSLが部分的にでも必要なサイトは個人情報や決済と繋がっている事が多いので

        ・一部を秘匿しても別の重要情報が平文で流れるかもしれない、、といか当該情報が重要かどうかの判断をサイト設計/構築者に預ける事になる
        ・認証済み情報(セッションとかクッキー)の取り扱い次第では「なりすまし」が発生する可能性がある
        ・サイトの一意性を担保しにくい(別の問題も含みますがXSSに弱いとか)し、送られるSSLさえ安全なのか確認する事が難しい
        ・そもそも、そのような発想で構築する人達のセキュリティ意識は信用できない

        などイロイロ問題があるかと思います

        全部SSLにしたからって安全を保証できるわけではないですが
        可能であればしておきたいですねぇ・・
        親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...