アカウント名:
パスワード:
管理者権限があればIDが見れるのは普通だが、パスワードや暗証番号を見れるのは駄目だろ。復号可能なシステムにしてたことにも責任がある(それもSCSKなのかもだが)
パスワードが盗まれたと言えば、平文で盗まれたとしか考えられない低レベルはいい加減セキュリティの話に首を突っ込むのを止めろ。
いや、これ単なるシステム管理者じゃなく、システム開発者でしょ?「松井証券様のシステム開発等に専任で従事していた当該元社員」ってSCSKの開示情報にあるんだし。元から不正を行うつもりだったのなら、「ハッシュ化する」と偽って、平文もしくは復号可能な暗号文で保存していた可能性もあるんじゃないかな。
まあ、最もお手軽な書き出し先候補はログですね。しれっとログイン時の入力情報を吐いておく。安易に見られないように暗号化したとでも言っておけば、パスワードが混ざってても気付かれにくいですね。
元コメはそういう手口でパスワードを抜かれたのではなくて、貧弱な妄想で平文あるいは復号可能でDBに保存してあるシステムがダメだと言ってるのでは?
そんなコード混入できるとしたら、平文でパスワード保存してるよらヤバくね?
ヤバいに決まってんだろwww開発者に明確な悪意があんだよwwww
と言いたくなるが、とはいえそういう感想があるのも普通の事で、どちらかというとすば洞を付けるモデレータの方に違和感がある。
このコメは、復号可能な形で保存したパスワードにシステム管理者がアクセス可能だった、という想定でしょ。変なコメントじゃない。
ただ、復号可能でないハッシュ値でも沢山入手すれば弱いパスワードは抜けるので、実際にどういう形で保存していたかは分からないかな。(既に公表されていたらすまぬ)
想定だけならまだいいが、そんな無能の想定で批判までしちゃった上にすば洞なんて、ヤフコメ以下じゃん。
ではどのように盗まれたと考えるのが高レベルなのでしょうか。
ログに仕込んで~ってやつがいるが、それだと計画的、それも長期的な犯行なわけだけど、そっちのほうが無理がある。
この犯罪者は計画的・長期的に犯行を実行できる条件を持ってるんだからそこに無理はないでしょ。#4000793は全く頭を使っていないのが否定されてるだけ。スクリプト挿入でもハッシュ解析でも可能性があるのに、いきなりDBが平文がと決めつける発想が貧しいってこと。それしか知らないところが察せられるから低レベルって言われる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
いろいろヤバくね? (スコア:4, すばらしい洞察)
管理者権限があればIDが見れるのは普通だが、パスワードや暗証番号を見れるのは駄目だろ。
復号可能なシステムにしてたことにも責任がある(それもSCSKなのかもだが)
Re:いろいろヤバくね? (スコア:0, 興味深い)
パスワードが盗まれたと言えば、平文で盗まれたとしか考えられない低レベルはいい加減セキュリティの話に首を突っ込むのを止めろ。
Re:いろいろヤバくね? (スコア:1)
いや、これ単なるシステム管理者じゃなく、システム開発者でしょ?
「松井証券様のシステム開発等に専任で従事していた当該元社員」ってSCSKの開示情報にあるんだし。
元から不正を行うつもりだったのなら、「ハッシュ化する」と偽って、平文もしくは復号可能な暗号文で保存していた可能性もあるんじゃないかな。
Re: (スコア:0)
まあ、最もお手軽な書き出し先候補はログですね。しれっとログイン時の入力情報を吐いておく。
安易に見られないように暗号化したとでも言っておけば、パスワードが混ざってても気付かれにくいですね。
Re: (スコア:0)
元コメはそういう手口でパスワードを抜かれたのではなくて、
貧弱な妄想で平文あるいは復号可能でDBに保存してあるシステムがダメだと言ってるのでは?
Re: (スコア:0)
そんなコード混入できるとしたら、平文でパスワード保存してるよらヤバくね?
Re: (スコア:0)
ヤバいに決まってんだろwww開発者に明確な悪意があんだよwwww
Re: (スコア:0)
と言いたくなるが、とはいえそういう感想があるのも普通の事で、どちらかというとすば洞を付けるモデレータの方に違和感がある。
Re: (スコア:0)
このコメは、
復号可能な形で保存したパスワードに
システム管理者がアクセス可能だった、
という想定でしょ。変なコメントじゃない。
ただ、復号可能でないハッシュ値でも沢山入手すれば弱いパスワードは抜けるので、実際にどういう形で保存していたかは分からないかな。
(既に公表されていたらすまぬ)
Re: (スコア:0)
想定だけならまだいいが、そんな無能の想定で批判までしちゃった上にすば洞なんて、ヤフコメ以下じゃん。
Re: (スコア:0)
ではどのように盗まれたと考えるのが高レベルなのでしょうか。
ログに仕込んで~ってやつがいるが、それだと計画的、それも長期的な犯行なわけだけど、そっちのほうが無理がある。
Re: (スコア:0)
この犯罪者は計画的・長期的に犯行を実行できる条件を持ってるんだからそこに無理はないでしょ。
#4000793は全く頭を使っていないのが否定されてるだけ。
スクリプト挿入でもハッシュ解析でも可能性があるのに、いきなりDBが平文がと決めつける発想が貧しいってこと。
それしか知らないところが察せられるから低レベルって言われる。