パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

意図的に間違ったID/パスワードを入力し、他のユーザーがログインできなくなるようにする嫌がらせ」記事へのコメント

  • 威力業務妨害 (スコア:5, 参考になる)

    by Anonymous Coward

    調べてみたら電子計算機損壊等業務妨害罪に該当しそうですね
    https://ja.wikipedia.org/wiki/%E4%BF%A1%E7%94%A8%E6%AF%80%E6%90%8D%E7%... [wikipedia.org]

    • by Anonymous Coward

      サービス提供者が動いてくれなさそう。
      動いたら動いたで、本人が間違えたくせに、攻撃されたと言い張る奴続出w

      • by Anonymous Coward

        サービス提供者側が嫌々動いた結果、繰返しパスワードの入力ミスをしてもロックされなくなる、という斜め上の対応で炎上する未来が見えた。

        • Re:威力業務妨害 (スコア:3, すばらしい洞察)

          by minet (45149) on 2019年02月06日 19時42分 (#3560853) 日記

          斜め上かなあ?
          ロックしなくても、例えばログイン試行時の応答を遅くすることで総当たり攻撃を緩和する、とか現実的だと思うが。
          ログインに5秒かかるようにするだけでも、1時間に720通りしか試行できなくなるが、正規ユーザーへのサービス拒否にはなってないだろう。
          ログイン5秒が命取りになるって言うサービスなら、それに加えて永続ログインを実装する(クッキー消されるまではログイン扱い)とか打てる手はある。

          親コメント
          • by Anonymous Coward

            だよね。
            そもそもロックする必要ない。元コメは目的と手段を混同している。
            というか何故ロックするという阿呆な実装がはびこったか。パスワード解除のための秘密の合言葉と同じ匂いがする。
            危険にさらされているからというならば、ロックするのはアカウントじゃなくて接続元に対してすべき。
            それでも攻撃側に回避策はあるのだけれど。

            しかし応答時間が遅くなるだけで十分攻撃成功となる。
            IDはさらされてもよい情報で、これまで秘匿する情報にしてしまうのもまた問題。
            ログイン状態を永続化したところでこの問題には意味はない。

            • by Anonymous Coward on 2019年02月07日 1時51分 (#3560985)

              IPアドレスでブロックしたら共有してるユーザーに被害出るけど?
              モバイル回線のIPアドレスブロックしたらクレームが大変なことになると思うぞ。

              親コメント
              • by Anonymous Coward

                IPと会員IDの組み合わせではだめなんですか?

              • by Anonymous Coward

                荒らしの規制に巻き込まれて書き込めないとか。
                と思ったけど、それはクレーム以前に既に良くある日常の一つだった。

          • by Anonymous Coward

            言葉が足りなくて後付というか後出しになっちゃうのでどっちにしてもまあみっともないんですが、
            ロックされなくする「だけ」の対応、という意図での発言だというのは汲んでいただけると助かります。

            ロックされなくする代わりに認証時間にウェイトを入れるなどの有効な対策を施すのは、
            嫌々、では無くそれなりにまじめに取り組んだ結果じゃないかと。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...