アカウント名:
パスワード:
二段階認証でもなきゃ簡単にログインされてしまう。二段階認証でも突破する方法が有るみたいですし。ログイン機能を開発するコストが跳ね上がりますな。
SSLにすら対応していない、ここ/.Jの立場は…。
いらない対応だからね。
SSLがいる理由を無理やり考えろといわれたらいくらでも出せるけど、よくよく検討すれば穴があったりSSLとか関係なかったりする。
うん、君がセキュリティのド素人だというのがよくわかったよ。
では、/.Jがコストをかけてまで新しいログイン機能を開発する理由を挙げてみてくれ。当然、無理やりなものなど穴の有る理由はダメだよ。
別人だけど、
* 成りすましによる議論の混乱を避ける* メールアドレスなど、公開していない個人情報の流出を防ぐ
いくらでもあるだろう。私はIDの時はメールアドレスを公開しているので、どうでもいいが、一般的にみて、これはわりと脆弱なシステムだ。上の主張は、ちょっと何を言っているのか良くわからないな。
コストをかけてまで新しいログイン機能を開発する理由について
> 成りすましによる議論の混乱を避ける> メールアドレスなど、公開していない個人情報の流出を防ぐ
それって理由になっている?私はなっていないと判断します。
あなたの挙げた理由はID/PWの漏洩があった場合の話です、SSLの話はあまり関係ないでしょう。今回のmixiの件もアカウント数に対する攻撃件数から見て他の理由と見るのが正しいと判断します。アカウントの使い回しとかの。つまり、SSLが有ろうが無かろうが発生する事象です。SSLを使えば有意に差が出るというデータでもあれば話は別です。
> いくらでもあるだろう
当然、用途に対して十分脆弱でしょう。スラッシュドットにアクセスしている人は、自分のメールアドレスを振り撒きたいとは思っておらず、だからこそ「隠す」というオプションがあるのです。
しかし、httpsでないばっかりに、無線LANとかで、MiMをやられると、その人のID/パスワードは流出します。まだ流出した例がないのは、利用者が有意にすくないからで、スラッシュドットが目的に対して十分堅牢だからではありません。
> 無線LANとかで、MiM
それはそっちの問題でしょう。無線LANで乗っ取りやられたらHTTPS以前の問題ですよ。被害者の立場では /.JのID/PW漏洩なんて簡単なレベルでなく、/.J 側としてはさほど問題ではないです。
> 用途に対して十分脆弱でしょう。> スラッシュドットが目的に対して十分堅牢だからではありません。
目的って何ですか? あなたの勝手な思い込みでは?メールアドレスをばら撒きたくないなら先ずメールアドレスを登録しなければいいのですよ。/.Jは登録を強制していないでしょう。利用者がコントロールできるのだからそれでよい。
/.Jでは、せいぜい発言者がある程度特
通信内容が暗号化されないと「mtdra さんは中間者攻撃を受けていて、 このストーリーで暴れている mtdra は本当の mtdra さんの意見ではありません」とデマが流されたとき,それを誰も確認できない。
> それを誰も確認できない。
だいたいにおいて確認する必要ないし。表面上誰とも特定できないA.C.と形だけとしても議論が進行しているでしょ。また、前にも言ったけど不用意に個人を特定されてまずい情報は最初から/.Jには登録していません。攻撃により信用が無くなったらIDを取り直せばよいだけです。がちがちにセキュリティを固めるほどの防御はいらない世界です。
そうとはいえやろうと思えば確認できるよ。もしかしてインターネットは匿名とか信じている人?あと、予想するに確認とか証明をあなたの中じゃ現実離れした基準で言っているでしょう。無茶なセキュリティ要件や現実離れした基準で。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
ログイン機能の開発コスト (スコア:2)
二段階認証でもなきゃ簡単にログインされてしまう。
二段階認証でも突破する方法が有るみたいですし。
ログイン機能を開発するコストが跳ね上がりますな。
Re: (スコア:-1)
SSLにすら対応していない、ここ/.Jの立場は…。
Re: (スコア:3)
いらない対応だからね。
SSLがいる理由を無理やり考えろといわれたらいくらでも出せるけど、よくよく検討すれば穴があったりSSLとか関係なかったりする。
Re: (スコア:-1)
うん、君がセキュリティのド素人だというのがよくわかったよ。
Re: (スコア:2)
では、/.Jがコストをかけてまで新しいログイン機能を開発する理由を挙げてみてくれ。
当然、無理やりなものなど穴の有る理由はダメだよ。
Re: (スコア:0)
別人だけど、
* 成りすましによる議論の混乱を避ける
* メールアドレスなど、公開していない個人情報の流出を防ぐ
いくらでもあるだろう。私はIDの時はメールアドレスを公開しているので、どうでもいいが、一般的にみて、これはわりと脆弱なシステムだ。上の主張は、ちょっと何を言っているのか良くわからないな。
Re: (スコア:4, 参考になる)
コストをかけてまで新しいログイン機能を開発する理由について
> 成りすましによる議論の混乱を避ける
> メールアドレスなど、公開していない個人情報の流出を防ぐ
それって理由になっている?
私はなっていないと判断します。
あなたの挙げた理由はID/PWの漏洩があった場合の話です、SSLの話はあまり関係ないでしょう。
今回のmixiの件もアカウント数に対する攻撃件数から見て他の理由と見るのが正しいと判断します。アカウントの使い回しとかの。
つまり、SSLが有ろうが無かろうが発生する事象です。SSLを使えば有意に差が出るというデータでもあれば話は別です。
> いくらでもあるだろう
Re: (スコア:0)
当然、用途に対して十分脆弱でしょう。スラッシュドットにアクセスしている人は、自分のメールアドレスを振り撒きたいとは思っておらず、だからこそ「隠す」というオプションがあるのです。
しかし、httpsでないばっかりに、無線LANとかで、MiMをやられると、その人のID/パスワードは流出します。まだ流出した例がないのは、利用者が有意にすくないからで、スラッシュドットが目的に対して十分堅牢だからではありません。
Re: (スコア:1)
> 無線LANとかで、MiM
それはそっちの問題でしょう。
無線LANで乗っ取りやられたらHTTPS以前の問題ですよ。
被害者の立場では /.JのID/PW漏洩なんて簡単なレベルでなく、/.J 側としてはさほど問題ではないです。
> 用途に対して十分脆弱でしょう。
> スラッシュドットが目的に対して十分堅牢だからではありません。
目的って何ですか? あなたの勝手な思い込みでは?
メールアドレスをばら撒きたくないなら先ずメールアドレスを登録しなければいいのですよ。
/.Jは登録を強制していないでしょう。
利用者がコントロールできるのだからそれでよい。
/.Jでは、せいぜい発言者がある程度特
Re: (スコア:0)
通信内容が暗号化されないと「mtdra さんは中間者攻撃を受けていて、 このストーリーで暴れている mtdra は本当の mtdra さんの意見ではありません」とデマが流されたとき,それを誰も確認できない。
Re:ログイン機能の開発コスト (スコア:1)
> それを誰も確認できない。
だいたいにおいて確認する必要ないし。
表面上誰とも特定できないA.C.と形だけとしても議論が進行しているでしょ。
また、前にも言ったけど不用意に個人を特定されてまずい情報は最初から/.Jには登録していません。攻撃により信用が無くなったらIDを取り直せばよいだけです。
がちがちにセキュリティを固めるほどの防御はいらない世界です。
> それを誰も確認できない。
そうとはいえやろうと思えば確認できるよ。もしかしてインターネットは匿名とか信じている人?
あと、予想するに確認とか証明をあなたの中じゃ現実離れした基準で言っているでしょう。
無茶なセキュリティ要件や現実離れした基準で。