アカウント名:
パスワード:
利用者が常に同じ端末でログインするとは限らないし、利用者以外が流出したパスワードを使って、不正にログインしていない事を確認できるの?
>アップロードされたファイルについては漏洩は確認されていないようだ。
どこ情報だろうね
漏洩(の有無)を調査してないってことでしょ調査したら漏洩の確認がとれちゃうから
ファイル漏洩に限った話ではないですが、「... 漏洩/悪用は確認されていない」はいわゆる定型句で、「俺は聞いてない」の婉曲表現に当たります。
たとえ社外などからクレームが上がっても、聞いていないことにすれば「確認されていない」にできますので、非常に便利な定型句だったりします。
元記事に確認されていない、なんて書いてないんだよな
そんなこと言ったら漏洩してなくても「可能性はある」としか言えない。我々が欲しいのはそういう情報じゃないんだが。
たとえアップロードされてたファイルと同じファイルの流出が確認されても、ユーザー側が「宅ふぁいる便」から漏洩したことはそうそう立証できないからね。漏洩させた不正アクセスの犯人を逮捕してPC押収して、痕跡とログがとれたら辛うじて証拠にはなるけど、現実的じゃないし。
あくまでもデータ送信の為のサービスなのでログインできても過去にアップロードしたファイルをダウンロードできるわけではありませんよ。(過去にアップロードしたファイルを画面上で確認出来るようになっていないし、アップロードしたファイルも3日で削除されてしまう)
後、ダウンロードはメール通知されたURLでおこなう仕様なので、そのURLにアクセスがない限り、漏洩していないと言って良いかと思います。
でも問題が発覚したのは、存在しないはずのファイルがあったってことだから、直接ファイルにアクセスできるような状態になってたんじゃないの?
>そのURLにアクセスがない限り、漏洩していないと言って良いかと思います。アウトバウンドのログを全部確認すれば、ログの残っている期間に関しては漏えいはチェックできますね。問題は正規のアクセスと、正規でないアクセスをどう区別するのかですが。
確認できるのは「ファイルの情報漏洩があった」ことだけ。
「ファイルの情報漏洩はなかった」と確認するには全てのアクセス記録を元に裏とりをしなくてはならないので、それこそ魚がいないことを確認するために湖の水を全部抜くようなこと。悪魔の証明ともいわれる無理筋な話。
よくありがちは「ファイルの情報漏洩は確認されていない」という言い方。被害は確認されていないということで、被害がないとは言ってない。
日本語の特徴なのかな。論理的に印象操作が可能で解釈によってごまかせる論法があるものって。
不正なログインかどうか、どうやって確認できますか?
その判断基準が不明確なので「不正ログインかどうか特定できていない」ということです。「不正ログインはなかった」と言っているわけではないのですよ。でも、みんなにわかりやすい言葉で明言してしまうと、騒ぎが更に大きくなるので、「相手が誤解しやすい言葉」で逃げているだけです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
パスワード漏れてるのに、ファイル漏洩は無いって確認できるの? (スコア:0)
利用者が常に同じ端末でログインするとは限らないし、
利用者以外が流出したパスワードを使って、
不正にログインしていない事を確認できるの?
Re: (スコア:0)
>アップロードされたファイルについては漏洩は確認されていないようだ。
どこ情報だろうね
Re: (スコア:0)
漏洩(の有無)を調査してないってことでしょ
調査したら漏洩の確認がとれちゃうから
Re: (スコア:0)
ファイル漏洩に限った話ではないですが、
「... 漏洩/悪用は確認されていない」はいわゆる定型句で、
「俺は聞いてない」の婉曲表現に当たります。
たとえ社外などからクレームが上がっても、
聞いていないことにすれば「確認されていない」にできますので、
非常に便利な定型句だったりします。
Re: (スコア:0)
元記事に確認されていない、なんて書いてないんだよな
Re: (スコア:0)
そんなこと言ったら漏洩してなくても「可能性はある」としか言えない。我々が欲しいのはそういう情報じゃないんだが。
Re: (スコア:0)
たとえアップロードされてたファイルと同じファイルの流出が確認されても、ユーザー側が「宅ふぁいる便」から漏洩したことはそうそう立証できないからね。
漏洩させた不正アクセスの犯人を逮捕してPC押収して、痕跡とログがとれたら辛うじて証拠にはなるけど、現実的じゃないし。
Re: (スコア:0)
あくまでもデータ送信の為のサービスなのでログインできても過去にアップロードしたファイルをダウンロードできるわけではありませんよ。(過去にアップロードしたファイルを画面上で確認出来るようになっていないし、アップロードしたファイルも3日で削除されてしまう)
後、ダウンロードはメール通知されたURLでおこなう仕様なので、そのURLにアクセスがない限り、漏洩していないと言って良いかと思います。
Re: (スコア:0)
でも問題が発覚したのは、存在しないはずのファイルがあったってことだから、
直接ファイルにアクセスできるような状態になってたんじゃないの?
Re: (スコア:0)
>そのURLにアクセスがない限り、漏洩していないと言って良いかと思います。
アウトバウンドのログを全部確認すれば、ログの残っている期間に関しては漏えいはチェックできますね。
問題は正規のアクセスと、正規でないアクセスをどう区別するのかですが。
Re: (スコア:0)
確認できるのは「ファイルの情報漏洩があった」ことだけ。
「ファイルの情報漏洩はなかった」と確認するには全てのアクセス記録を元に裏とりをしなくてはならないので、それこそ魚がいないことを確認するために湖の水を全部抜くようなこと。
悪魔の証明ともいわれる無理筋な話。
よくありがちは「ファイルの情報漏洩は確認されていない」という言い方。
被害は確認されていないということで、被害がないとは言ってない。
日本語の特徴なのかな。
論理的に印象操作が可能で解釈によってごまかせる論法があるものって。
Re: (スコア:0)
不正なログインかどうか、どうやって確認できますか?
その判断基準が不明確なので「不正ログインかどうか特定できていない」ということです。
「不正ログインはなかった」と言っているわけではないのですよ。
でも、みんなにわかりやすい言葉で明言してしまうと、騒ぎが更に大きくなるので、「相手が誤解しやすい言葉」で逃げているだけです。