アカウント名:
パスワード:
パスワード間違えたときのロックアウトは、総当たり攻撃を防ぐためのものだから、長くても数時間程度で解除されるようにすれば十分効果的だと思うんだけど、違うの?「パスワード変更を求められた」って、なんで無期限でロックしちゃうようにするの?バカなの?
ファンクラブ会員向けのチケット発売開始時刻付近だけロック出来れば、攻撃者の目的は達成ですね。
プラスもで付いてるけど、FC向けって、普通応募期間があって抽選販売じゃね?先着順になるのって一般発売ぐらいだと思うけど。
実際、リンク先にも「ロックされた経験がある」「パスワードの変更を強いられた」という反応はあっても、攻撃者の目論見どおり「応募できなかった」「買えなかった」という話はぱっと見た感じ見当たらないんですよね。最も実害に近かったのが「既に購入済のチケットのQRコードを呼び出せなくなって入場できなくなりかけた」辺りで、これは攻撃者自身を利する行為というより単なる嫌がらせの類。
「○○の会員制FCは実際先着順」といった具体的な情報があればまだしも、現時点では噂と憶測の組み合わせで変に話が膨らんでいるようにも見えてなんとも、というところ。
>これは攻撃者自身を利する行為というより単なる嫌がらせの類。いや、購入済みの人間を入らせなくさせて、当日券ふやす狙いじゃないかな
購入済みだと遅れて来る可能性があるから当日分には入らないはずだが
仕事とか全力で片付けて、開催日にお休み取れることを確定できたので最終日夜に申し込もうと思ったらロック、サポートに電話しても時間外とか…
最終日夜まで残っているようなチケットなら、そもそも争いは起こらないという。
コメント下げ元は「FC向け抽選販売」に触れていて、それに対して悪戯でアカウントロック掛けられてたら困るケースを論じてるように見えるんだが
元ネタは一定時間で解除されるような類いの話ですよ 先着順のチケット販売の出鼻をくじく話なので数分でもロックできればそれで意味があるのです
なので対策としてはチケット発売の前後2時間程、回数ロックをしないようにするだけでいい気がしますね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
ロックアウトは一定期間で解除するものじゃないの? (スコア:0)
パスワード間違えたときのロックアウトは、総当たり攻撃を防ぐためのものだから、長くても数時間程度で解除されるようにすれば十分効果的だと思うんだけど、違うの?
「パスワード変更を求められた」って、なんで無期限でロックしちゃうようにするの?バカなの?
Re:ロックアウトは一定期間で解除するものじゃないの? (スコア:3, 興味深い)
ファンクラブ会員向けのチケット発売開始時刻付近だけロック出来れば、攻撃者の目的は達成ですね。
Re: (スコア:0)
プラスもで付いてるけど、FC向けって、普通応募期間があって抽選販売じゃね?
先着順になるのって一般発売ぐらいだと思うけど。
Re:ロックアウトは一定期間で解除するものじゃないの? (スコア:2, 興味深い)
実際、リンク先にも「ロックされた経験がある」「パスワードの変更を強いられた」という反応はあっても、
攻撃者の目論見どおり「応募できなかった」「買えなかった」という話はぱっと見た感じ見当たらないんですよね。
最も実害に近かったのが「既に購入済のチケットのQRコードを呼び出せなくなって入場できなくなりかけた」辺りで、
これは攻撃者自身を利する行為というより単なる嫌がらせの類。
「○○の会員制FCは実際先着順」といった具体的な情報があればまだしも、
現時点では噂と憶測の組み合わせで変に話が膨らんでいるようにも見えてなんとも、というところ。
Re: (スコア:0)
>これは攻撃者自身を利する行為というより単なる嫌がらせの類。
いや、購入済みの人間を入らせなくさせて、当日券ふやす狙いじゃないかな
Re: (スコア:0)
購入済みだと遅れて来る可能性があるから当日分には入らないはずだが
Re: (スコア:0)
仕事とか全力で片付けて、開催日にお休み取れることを確定できたので
最終日夜に申し込もうと思ったらロック、サポートに電話しても時間外とか…
Re:ロックアウトは一定期間で解除するものじゃないの? (スコア:1)
最終日夜まで残っているようなチケットなら、そもそも争いは起こらないという。
Re: (スコア:0)
コメント下げ元は「FC向け抽選販売」に触れていて、
それに対して悪戯でアカウントロック掛けられてたら
困るケースを論じてるように見えるんだが
Re: (スコア:0)
元ネタは一定時間で解除されるような類いの話ですよ 先着順のチケット販売の出鼻をくじく話なので数分でもロックできればそれで意味があるのです
Re: (スコア:0)
なので対策としてはチケット発売の前後2時間程、回数ロックをしないようにするだけでいい気がしますね。