パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

東横INNの予約サイトのセキュリティが改善」記事へのコメント

  • by Anonymous Coward on 2016年04月23日 17時22分 (#3002320)

    当時の修正方法では不十分だと感じていましたが、やっとパスワードを導入したのですね。
    「東横インWeb予約の脆弱性が修正された…が」 http://w0s.jp/diary/66 [w0s.jp]

    • by Anonymous Coward

      なにそれこわい。

      仮に見よう見まねでコピペして作っても、なかなかそういう設計にはならないと思うんだけど、
      作った人はなにを考えて/何を参考にして、そういう作りにしたんだろう?

      それに責任者は責任を問われなかったのだろうか?

    • by Anonymous Coward

      タイトルと本文が繋がってなくてわかりにくいが、今回は「名前+生年月日」のみでログインできた脆弱性が修正されたってことでOK?

      • by Anonymous Coward

        パスワードのみでログインできたのが生年月日と名前でログインできる仕様に変更されたんでしょ。
        生年月日と名前でログインできるサイトよりはパスワードだけでログインできるサイトのほうが安全だわな。

        • by Anonymous Coward on 2016年04月24日 10時44分 (#3002503)

          おまえは何を言っているんだ?

          #3002320 [security.srad.jp]がリンクしているhttp://w0s.jp/diary/66 [w0s.jp]と今回のタレコミを総合すると、

          1. 〜2008年11月14日 [toyoko-inn.com]
            • toyoko-IDとパスワード
          2. 2008年11月15日〜2009年11月26日 [toyoko-inn.com]
            • 氏名アルファベットと生年月日
            • パスワードのみ
          3. 2009年11月27日〜2016年2月17日 [toyoko-inn.com]
            • 氏名アルファベットと生年月日
            • パスワードと生年月日
          4. 2016年2月18日〜 [toyoko-inn.com]
            • メールアドレス+パスワード

          ってことでしょ?

          親コメント
        • by Anonymous Coward

          > パスワードだけでログインできるサイトのほうが安全だわな

          8桁程度のパスワードだと、総当たり程度の幼稚な攻撃で簡単に突破されそう。
          10桁を超えてくると、ちょっと覚えておくのが辛くなってくる。

          • by Anonymous Coward

            攻撃の意図の違いでしょう。悪意のある他人にとっては8ケタのパスワードのみのほうが攻撃しやすいが悪意のある知り合いにとっては生年月日と本名のほうが攻撃しやすい。
            出世レースで同僚の足を引っ張りたい同僚とか。

    • by Anonymous Coward

      これを改善と呼ぶべきかかどうか個人的には微妙。

      なぜなら「メールアドレス+パスワード」がよい方法であるとは思わないからだ。
      ここならパスワードリスト攻撃について説明する必要はないだろう。

      「具体的被害」というのもいまいちピンと来ない。
      東横INNの被害のことなら、それは東横INNのポリシーの問題だと思う。
      もちろんポリシーをもって作られたかどうかは知らない。

      また、一般的に使い勝手とセキュリティはトレードオフの関係にあるので、極端な話、変更によって利用者がいなくなってしまっては意味がない。

      まぁ、東横INNの予約サイトがどういう作りでも個人的にはどうでもいい。

      単にタレコミ人が「セキュリティが改善」とドヤっているのが気に入らなかっただけなのかもしれない。

      • > これを改善と呼ぶべきかかどうか個人的には微妙。

        現状から比べれば改善したよ、という話であって、
        あなたの目指すゴールから近いか遠いか、という会話は誰もしていないと思いますが。

        > パスワードリスト攻撃について説明する必要はないだろう。

        認証方式の話と、その運用からくるリスクの話を混同していませんか。

        親コメント
      • このコメントに共感しちゃうなぁ。

        UserIDとPasswordの組み合わせってそんなに重要なのか?
        どこもかしこもこの方式取ってるけど、誕生日とか電話番号でダメな
        ことは無いと思うよ。
        適当に入れて入れちゃうようならダメだけど、2つ以上の個人情報で入れるなら
        それでも構わないと思うわ。(オプションでパスワード付き等も選択できるならなおよい)

        #世間一般のユーザはパスワード何にしてる?
        #忘れてしまうことのリスクは?
        • by Anonymous Coward
          それで問題の無い程度の情報しか持ってないサービスなら全然問題ないと思う。
          スラドのログインとか。

          ホテルの宿泊情報は行動情報なので、その程度の公開情報が漏れただけで
          ストーキング等が容易になってしまうのは良くない。

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...