アカウント名:
パスワード:
高木浩光氏は、「・・・全面的にANAとJALに責任がある」ANAは今回は関係ないのでは?
タレコミ者です。原文はこんな感じ [twitter.com]なので、そこは「本件については」ではなく「本件のような事例については」とすべきでした。失礼しました。
通常のリスト型攻撃であれば、不正ログインされたサイトの運営者に非はない(漏洩させたサイトが悪い)と言うべきと、これまで多くの専門家が啓発してきた。だが、ANAとJAL、お前たちはだめだ。完全にお前たちに責任があるのであり、全ての損害を補償し、賠償し、慰謝料に応じなければならない。
ANAが4桁の実装を固持したため、JALに「競合他社と比較して強固であるため改善の必要なし」と誤った判断をさせた責任。
ANAにとっちゃええ迷惑やな
ANA「もー、マイルなあ」
あな がち変な指摘ではない。いままで、な あな あにしていたのだから。
ANAだけに穴を放置?
せっかくだから合併してAll Nippon Air Line になってしまえばいいのに。
JAL「どうしてウチより脆弱な方を狙わなかったんだ!」
さっき抗議の電話入れたら自分たちは関係ないの一点張りだった最低だなANA・・・
コピペ的にはこうですね
ANAの場合は4桁数字の上にその初期値が誕生日だったという話ですので、パスワードを日付っぽい数字に固定してリバースブルートフォース攻撃をかければ、365分の1よりちょっと小さいくらいの確率(1秒間に何回どころか、1分に1回でも1日あれば十分)で当たってしまいますよね。ですから、
より強度が弱いANAが狙われていないはずがなく、被害が出ていないはずもない。まだ気付かれていないだけに違いないんだ! とか?
この推測はあながち杞憂とは言えないでしょうし、
これでANA側には被害が全く無かったとしたら、それはそれでなぜなのか気になる。
たまたま運が良かっただけでしょう、という話になりますし、
不審な連続アクセスを弾く仕組みなんかをJAL以上にきっちり作り込んでいた、とか?
これはほぼ無効だからダメでしょう、というのが今回の話だと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
なぜにANAJAL? (スコア:0)
高木浩光氏は、「・・・全面的にANAとJALに責任がある」
ANAは今回は関係ないのでは?
高木先生コメント全文 (スコア:4, 参考になる)
タレコミ者です。原文はこんな感じ [twitter.com]なので、そこは「本件については」ではなく「本件のような事例については」とすべきでした。失礼しました。
Re:なぜにANAJAL? (スコア:1)
ANAが4桁の実装を固持したため、
JALに「競合他社と比較して強固であるため改善の必要なし」と誤った判断をさせた責任。
Re: (スコア:0)
ANAにとっちゃええ迷惑やな
Re:なぜにANAJAL? (スコア:1)
ANA「もー、マイルなあ」
Re:なぜにANAJAL? (スコア:1)
あな がち変な指摘ではない。
いままで、な あな あにしていたのだから。
Re:なぜにANAJAL? (スコア:1)
ANAだけに穴を放置?
Re: (スコア:0)
せっかくだから合併してAll Nippon Air Line になってしまえばいいのに。
Re: (スコア:0)
JAL「どうしてウチより脆弱な方を狙わなかったんだ!」
Re: (スコア:0)
コピペ的にはこうですね
Re: (スコア:0)
これでANA側には被害が全く無かったとしたら、それはそれでなぜなのか気になる。
不審な連続アクセスを弾く仕組みなんかをJAL以上にきっちり作り込んでいた、とか?
そういや、
・何も対策されておらず同じIPアドレスから1秒間に100回でも1000回でもログイン試行が出来る、パスワードが英数字N文字のサイト
と
・正当なユーザには全く気付かれない範囲で不正なログイン試行の繰り返し等は徹底的に弾く仕組みを導入した、パスワードが数字4桁のサイト
の安全性が同じぐらいになるNってどれぐらいなんだろ?
攻撃者が使えるボットネットの規模の想定とか、前者の応答速度とか色々と考えなきゃいけないパラメータは多いけど。
Re: (スコア:0)
ANAの場合は4桁数字の上にその初期値が誕生日だったという話ですので、パスワードを日付っぽい数字に固定してリバースブルートフォース攻撃をかければ、365分の1よりちょっと小さいくらいの確率(1秒間に何回どころか、1分に1回でも1日あれば十分)で当たってしまいますよね。ですから、
より強度が弱いANAが狙われていないはずがなく、被害が出ていないはずもない。まだ気付かれていないだけに違いないんだ! とか?
この推測はあながち杞憂とは言えないでしょうし、
これでANA側には被害が全く無かったとしたら、それはそれでなぜなのか気になる。
たまたま運が良かっただけでしょう、という話になりますし、
不審な連続アクセスを弾く仕組みなんかをJAL以上にきっちり作り込んでいた、とか?
これはほぼ無効だからダメでしょう、というのが今回の話だと思います。
Re: (スコア:0)
まず、普通のユーザの利用をぎりぎり妨げない範囲でできる不正アクセス防止策は、
セキュリティの最前線では、どういうやり方が良いと考えられているのか、辺りから。
単純に同IPアドレスからの繰り返しのみ蹴れば十分なのか、ログインフォームをロードするアクセスからの反応時間とかも見るのか、
ボットの多い地域のIPアドレスを蹴るとかそういう対策も考えられるけど。