アカウント名:
パスワード:
当時の修正方法では不十分だと感じていましたが、やっとパスワードを導入したのですね。「東横インWeb予約の脆弱性が修正された…が」 http://w0s.jp/diary/66 [w0s.jp]
なにそれこわい。
仮に見よう見まねでコピペして作っても、なかなかそういう設計にはならないと思うんだけど、作った人はなにを考えて/何を参考にして、そういう作りにしたんだろう?
それに責任者は責任を問われなかったのだろうか?
タイトルと本文が繋がってなくてわかりにくいが、今回は「名前+生年月日」のみでログインできた脆弱性が修正されたってことでOK?
パスワードのみでログインできたのが生年月日と名前でログインできる仕様に変更されたんでしょ。生年月日と名前でログインできるサイトよりはパスワードだけでログインできるサイトのほうが安全だわな。
おまえは何を言っているんだ?
#3002320 [security.srad.jp]がリンクしているhttp://w0s.jp/diary/66 [w0s.jp]と今回のタレコミを総合すると、
ってことでしょ?
> パスワードだけでログインできるサイトのほうが安全だわな
8桁程度のパスワードだと、総当たり程度の幼稚な攻撃で簡単に突破されそう。10桁を超えてくると、ちょっと覚えておくのが辛くなってくる。
攻撃の意図の違いでしょう。悪意のある他人にとっては8ケタのパスワードのみのほうが攻撃しやすいが悪意のある知り合いにとっては生年月日と本名のほうが攻撃しやすい。出世レースで同僚の足を引っ張りたい同僚とか。
これを改善と呼ぶべきかかどうか個人的には微妙。
なぜなら「メールアドレス+パスワード」がよい方法であるとは思わないからだ。ここならパスワードリスト攻撃について説明する必要はないだろう。
「具体的被害」というのもいまいちピンと来ない。東横INNの被害のことなら、それは東横INNのポリシーの問題だと思う。もちろんポリシーをもって作られたかどうかは知らない。
また、一般的に使い勝手とセキュリティはトレードオフの関係にあるので、極端な話、変更によって利用者がいなくなってしまっては意味がない。
まぁ、東横INNの予約サイトがどういう作りでも個人的にはどうでもいい。
単にタレコミ人が「セキュリティが改善」とドヤっているのが気に入らなかっただけなのかもしれない。
> これを改善と呼ぶべきかかどうか個人的には微妙。
現状から比べれば改善したよ、という話であって、あなたの目指すゴールから近いか遠いか、という会話は誰もしていないと思いますが。
> パスワードリスト攻撃について説明する必要はないだろう。
認証方式の話と、その運用からくるリスクの話を混同していませんか。
まさに
あなたの目指すゴールから近いか遠いか、という会話は誰もしていないと思いますが。
これ。
少し他人に益するコメントを心掛けてはどうか。
> 俺の目指すゴールってどこなのかね?
とっても、とっても残念な発言ですね。
貴方の目指すゴールは「東横INNの答えとは一致していない」ことだけ判明しています。ここまでは、外部からも観測可能な客観的事実。
それ以上のことは、あなた自身しかわからないはずなので、自分の心に聞いてください。
てか、人様にご高説垂れる前に、自分の心を自分で理解するほうを優先してくださいね。
> 俺は社会全体から見たマクロな視点での話をしている。
おやおや、ずいぶん格好いいですね。貴方が話題の輪に加わっていない、ということだけわかりました。
脱線していることに自覚があるんなら、ここに書かなきゃいいのに。
君たちが狭い視野で改善したと言っているのにあきれてるんだよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
6年前はパスワード "のみ" でログインできたのですよ (スコア:2, 参考になる)
当時の修正方法では不十分だと感じていましたが、やっとパスワードを導入したのですね。
「東横インWeb予約の脆弱性が修正された…が」 http://w0s.jp/diary/66 [w0s.jp]
Re: (スコア:0)
なにそれこわい。
仮に見よう見まねでコピペして作っても、なかなかそういう設計にはならないと思うんだけど、
作った人はなにを考えて/何を参考にして、そういう作りにしたんだろう?
それに責任者は責任を問われなかったのだろうか?
Re: (スコア:0)
タイトルと本文が繋がってなくてわかりにくいが、今回は「名前+生年月日」のみでログインできた脆弱性が修正されたってことでOK?
Re: (スコア:0)
パスワードのみでログインできたのが生年月日と名前でログインできる仕様に変更されたんでしょ。
生年月日と名前でログインできるサイトよりはパスワードだけでログインできるサイトのほうが安全だわな。
Re:6年前はパスワード "のみ" でログインできたのですよ (スコア:2, 参考になる)
おまえは何を言っているんだ?
#3002320 [security.srad.jp]がリンクしているhttp://w0s.jp/diary/66 [w0s.jp]と今回のタレコミを総合すると、
ってことでしょ?
Re: (スコア:0)
> パスワードだけでログインできるサイトのほうが安全だわな
8桁程度のパスワードだと、総当たり程度の幼稚な攻撃で簡単に突破されそう。
10桁を超えてくると、ちょっと覚えておくのが辛くなってくる。
Re: (スコア:0)
攻撃の意図の違いでしょう。悪意のある他人にとっては8ケタのパスワードのみのほうが攻撃しやすいが悪意のある知り合いにとっては生年月日と本名のほうが攻撃しやすい。
出世レースで同僚の足を引っ張りたい同僚とか。
Re: (スコア:0)
これを改善と呼ぶべきかかどうか個人的には微妙。
なぜなら「メールアドレス+パスワード」がよい方法であるとは思わないからだ。
ここならパスワードリスト攻撃について説明する必要はないだろう。
「具体的被害」というのもいまいちピンと来ない。
東横INNの被害のことなら、それは東横INNのポリシーの問題だと思う。
もちろんポリシーをもって作られたかどうかは知らない。
また、一般的に使い勝手とセキュリティはトレードオフの関係にあるので、極端な話、変更によって利用者がいなくなってしまっては意味がない。
まぁ、東横INNの予約サイトがどういう作りでも個人的にはどうでもいい。
単にタレコミ人が「セキュリティが改善」とドヤっているのが気に入らなかっただけなのかもしれない。
Re:6年前はパスワード "のみ" でログインできたのですよ (スコア:1)
> これを改善と呼ぶべきかかどうか個人的には微妙。
現状から比べれば改善したよ、という話であって、
あなたの目指すゴールから近いか遠いか、という会話は誰もしていないと思いますが。
> パスワードリスト攻撃について説明する必要はないだろう。
認証方式の話と、その運用からくるリスクの話を混同していませんか。
Re: (スコア:0)
まさに
あなたの目指すゴールから近いか遠いか、という会話は誰もしていないと思いますが。
これ。
少し他人に益するコメントを心掛けてはどうか。
Re: (スコア:0)
> 俺の目指すゴールってどこなのかね?
とっても、とっても残念な発言ですね。
貴方の目指すゴールは「東横INNの答えとは一致していない」ことだけ判明しています。
ここまでは、外部からも観測可能な客観的事実。
それ以上のことは、あなた自身しかわからないはずなので、自分の心に聞いてください。
てか、人様にご高説垂れる前に、自分の心を自分で理解するほうを優先してくださいね。
Re: (スコア:0)
> 俺は社会全体から見たマクロな視点での話をしている。
おやおや、ずいぶん格好いいですね。
貴方が話題の輪に加わっていない、ということだけわかりました。
脱線していることに自覚があるんなら、ここに書かなきゃいいのに。
Re: (スコア:0)
君たちが狭い視野で改善したと言っているのにあきれてるんだよ。
Re: (スコア:0)
Re: (スコア:0)
UserIDとPasswordの組み合わせってそんなに重要なのか?
どこもかしこもこの方式取ってるけど、誕生日とか電話番号でダメな
ことは無いと思うよ。
適当に入れて入れちゃうようならダメだけど、2つ以上の個人情報で入れるなら
それでも構わないと思うわ。(オプションでパスワード付き等も選択できるならなおよい)
#世間一般のユーザはパスワード何にしてる?
#忘れてしまうことのリスクは?
Re: (スコア:0)
スラドのログインとか。
ホテルの宿泊情報は行動情報なので、その程度の公開情報が漏れただけで
ストーキング等が容易になってしまうのは良くない。