パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Hotmailと.NET Passportにアカウント乗っ取りの大穴」記事へのコメント

  • 他でよくある
    >任意のコードを実行できる
    ってのとはちょっと違いますね、危機レベルが。
    任意のコードを実行できる穴というものは、
    結局それなりにコンピューターのことが分かってないと
    「悪用」する「方法」を思いつかないわけです。
    どのようなプログラムコードを走らせればいいか分からないレベルの
    人間(私のような)には悪用は出来ないわけです。
    でも、
    >具体的には特定のURLを開くことにより、被害者のアカウントのパスワードを
    >再設定するためのURLが攻撃者の指定する任意のメールアドレスに送られてしまう
    なんていうのは、「特
    • by ruriha (15694) on 2003年05月11日 13時57分 (#313592)
      他でよくある
      >任意のコードを実行できる
      ってのとはちょっと違いますね、危機レベルが。
      「危機レベルが違う」とは私も思いますが、 その理由は、Passportが単独の製品ではなく、認証サービス であり、れっきとしたセキュリティ 製品であり、他の製品・サービスから共通に利用されるミドルウェアであり、これを利用する他の製品・サービスすべての安全性の基盤であるからです。Passportを利用する他の商品購入、代金請求とかのサービスの安全性はPassportが正しく動作することに依存します。

      セキュリティ製品がセキュリティ上の穴を もってるというのは、問題の深刻さとして ランクが違うと思うのです。

      セキュリティ製品を作る人は通常の開発者よりも セキュリティについて詳しい人であるべきで、 その開発は他の製品よりもより厳しい製造設計監査 プロセスを経ているべきであり、 おそまつな設計ミスがあったってことは、 これらがしかるべく機能していない可能性があるという ことを意味しています。

      親コメント

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...