アカウント名:
パスワード:
調べてみたら電子計算機損壊等業務妨害罪に該当しそうですねhttps://ja.wikipedia.org/wiki/%E4%BF%A1%E7%94%A8%E6%AF%80%E6%90%8D%E7%... [wikipedia.org]
サービス提供者が動いてくれなさそう。動いたら動いたで、本人が間違えたくせに、攻撃されたと言い張る奴続出w
サービス提供者側が嫌々動いた結果、繰返しパスワードの入力ミスをしてもロックされなくなる、という斜め上の対応で炎上する未来が見えた。
斜め上かなあ?ロックしなくても、例えばログイン試行時の応答を遅くすることで総当たり攻撃を緩和する、とか現実的だと思うが。ログインに5秒かかるようにするだけでも、1時間に720通りしか試行できなくなるが、正規ユーザーへのサービス拒否にはなってないだろう。ログイン5秒が命取りになるって言うサービスなら、それに加えて永続ログインを実装する(クッキー消されるまではログイン扱い)とか打てる手はある。
だよね。そもそもロックする必要ない。元コメは目的と手段を混同している。というか何故ロックするという阿呆な実装がはびこったか。パスワード解除のための秘密の合言葉と同じ匂いがする。危険にさらされているからというならば、ロックするのはアカウントじゃなくて接続元に対してすべき。それでも攻撃側に回避策はあるのだけれど。
しかし応答時間が遅くなるだけで十分攻撃成功となる。IDはさらされてもよい情報で、これまで秘匿する情報にしてしまうのもまた問題。ログイン状態を永続化したところでこの問題には意味はない。
IPアドレスでブロックしたら共有してるユーザーに被害出るけど?モバイル回線のIPアドレスブロックしたらクレームが大変なことになると思うぞ。
IPと会員IDの組み合わせではだめなんですか?
荒らしの規制に巻き込まれて書き込めないとか。と思ったけど、それはクレーム以前に既に良くある日常の一つだった。
言葉が足りなくて後付というか後出しになっちゃうのでどっちにしてもまあみっともないんですが、ロックされなくする「だけ」の対応、という意図での発言だというのは汲んでいただけると助かります。
ロックされなくする代わりに認証時間にウェイトを入れるなどの有効な対策を施すのは、嫌々、では無くそれなりにまじめに取り組んだ結果じゃないかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
威力業務妨害 (スコア:5, 参考になる)
調べてみたら電子計算機損壊等業務妨害罪に該当しそうですね
https://ja.wikipedia.org/wiki/%E4%BF%A1%E7%94%A8%E6%AF%80%E6%90%8D%E7%... [wikipedia.org]
Re: (スコア:0)
サービス提供者が動いてくれなさそう。
動いたら動いたで、本人が間違えたくせに、攻撃されたと言い張る奴続出w
Re: (スコア:0)
サービス提供者側が嫌々動いた結果、繰返しパスワードの入力ミスをしてもロックされなくなる、という斜め上の対応で炎上する未来が見えた。
Re:威力業務妨害 (スコア:3, すばらしい洞察)
斜め上かなあ?
ロックしなくても、例えばログイン試行時の応答を遅くすることで総当たり攻撃を緩和する、とか現実的だと思うが。
ログインに5秒かかるようにするだけでも、1時間に720通りしか試行できなくなるが、正規ユーザーへのサービス拒否にはなってないだろう。
ログイン5秒が命取りになるって言うサービスなら、それに加えて永続ログインを実装する(クッキー消されるまではログイン扱い)とか打てる手はある。
Re: (スコア:0)
だよね。
そもそもロックする必要ない。元コメは目的と手段を混同している。
というか何故ロックするという阿呆な実装がはびこったか。パスワード解除のための秘密の合言葉と同じ匂いがする。
危険にさらされているからというならば、ロックするのはアカウントじゃなくて接続元に対してすべき。
それでも攻撃側に回避策はあるのだけれど。
しかし応答時間が遅くなるだけで十分攻撃成功となる。
IDはさらされてもよい情報で、これまで秘匿する情報にしてしまうのもまた問題。
ログイン状態を永続化したところでこの問題には意味はない。
Re:威力業務妨害 (スコア:1)
IPアドレスでブロックしたら共有してるユーザーに被害出るけど?
モバイル回線のIPアドレスブロックしたらクレームが大変なことになると思うぞ。
Re: (スコア:0)
IPと会員IDの組み合わせではだめなんですか?
Re: (スコア:0)
荒らしの規制に巻き込まれて書き込めないとか。
と思ったけど、それはクレーム以前に既に良くある日常の一つだった。
Re: (スコア:0)
言葉が足りなくて後付というか後出しになっちゃうのでどっちにしてもまあみっともないんですが、
ロックされなくする「だけ」の対応、という意図での発言だというのは汲んでいただけると助かります。
ロックされなくする代わりに認証時間にウェイトを入れるなどの有効な対策を施すのは、
嫌々、では無くそれなりにまじめに取り組んだ結果じゃないかと。