アカウント名:
パスワード:
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略) which inform him
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか? 今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?
誤入力ではなく一度変更している場合です。再び元に戻している場合には、変更が必要です。また、他のサイトで同じパスワードを使用している場合にも警戒が必要で、これらのことは知らされるべきです。
それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
パスワードによっては短時間で復元されることがあります。
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、
私は問題を見つけたのではありません。
誤解があるようですが、私は叩くということをしていません。
あなたは他人の痛みがわからない人なんですね。
また、他のサイトで同じパスワードを使用している場合にも警戒が必要で
「MD5値からパスワードを復元できる」という前提が成り立てばその通りですが、そういう前提は成り立ちません。
は?何言ってるんですか? 類推可能なパスワードをMD5して該当MD5値と一致したら「復元された」と言ってますか? それはMD5値を復元したのではなく、類推したパスワードをMD5値で検証しただけ
あなたの用語の使い方に従えば、それは間違いですね。 MD5値からパスワードを「検証」できるという前提が成り立てば「その通り」であるわけで、その前提は成り立ち得ます。
は?何言ってるんですか? 類推可能なパスワードをMD5して該当MD5値と一致したら「復元された」と言ってますか?
上に書いたとおりです。それを広い意味で「復元」と呼ぶか、狭い意味で「検証」と呼ぶか、用語の使い方次第です。
パスワードが類推可能なのであれば、ターゲットへ類推
もしかしてあなたはいわゆる辞書攻撃というものをご存じないのでしょうか?
もしかして私バカにされてるんだろうか? まぁACだからいいけど。
私は、MD5値が漏れる事=パスワードが漏れる事、という論理が飛躍しすぎていると言ってるのであって、辞書攻撃で解読されてしまう程度のパスワードはユーザのパスワード管理の問題だと思います。
そもそも、MD5値が漏れるのが「パスワード漏洩の脆弱性」と言うのであれば、APOPも「パスワード漏洩の脆弱性」を抱えている事になりますね。 SlashcodeにAPOP以上のセキュリティを求めるあなたのバランス感覚がおかしいとは思いませんか?
もしかして私バカにされてるんだろうか?
ご存じない(失念を含む)からとしか、あり得ないご発言があった(「ターゲットへパスワードを入れてみれば検証できます」の部分がそれに該当)ため、そのように書いたしだいです。違いますか?
辞書攻撃で解読されてしまう程度のパスワードはユーザのパスワード管理の問題だと思います。
最近の辞書攻撃の能力はかなりのものがありますが、それに絶えうるパスワードをつけている人がどれくらいいるかということと、いずれにしても、だからといってチャラになる話ではないでしょう。
私は、MD5値が漏れる事=パスワードが漏れる事
スラッシュドットへのログインに関しては、MD5値が漏れることとパスワードが漏れることは同等です。
同等の効果が得られても同じ事ではありませんね。 指摘する側が、そういう「センセーショナルな嘘(というか誇大表現)」をするから反発を受けるのでは?
アカウントが乗っ取られることを一般読者にわかるようにパスワードが漏れたと表現しまし
なぜ「パスワードが漏れるリスク」というセンセーショナルな誇大表現をしますか?
センセーショナルでも誇大でもありません。なぜなら、
もし、そのパスワードがスラッシュドットだけで使っているものなのなら、MD5値が漏れることとそのパスワードが漏れることは完全に同等です。
だから「同等でも同じものじゃない」でしょ。 なぜ「アカウント乗っ取りのリスク」という正確な表現ができるのに、「パスワード漏洩のリスク」という似ているけど嘘の表現をしますか?
もし、そのパスワードがスラッシュドット以外でも
だから「同等でも同じものじゃない」でしょ。
同等ですし同じものです。(あなたの、その「同じもの」という言葉の使い方には、どのような意義があるのですか?)
なぜ「アカウント乗っ取りのリスク」という正確な表現ができるのに、「パスワード漏洩のリスク」という似ているけど嘘の表現をしますか?
同じものなのですから、正確な表現ですし、ましてや嘘の表現ではありません。 どこが同じでないのですか?つまり、 スラッシュドットだけにしかそのパスワードを使わない人にとって、 「アカウントを乗っ取られる」と説明される
どこが同じでないのですか?つまり、スラッシュドットだけにしかそのパスワードを使わない人にとって、「アカウントを乗っ取られる」と説明されるのと「パスワードが漏れる」と説明されるのとで、理解する内容において何が違いますか?そして、その違いを認識することにどのような意義がありますか?
パスワードをたとえば「foo1234」としている人がいたとして、「foo1234
他で使っているパスワードを知る大きな手がかりを与える事になります。
で、APOPでも一定のセキュリティ機構として(暗黙の)了解されているMD5ハッシュが、何でSlashcodeに限って即
あなたは生パスワードの漏洩とMD5値の漏洩は同値であると主張してる
MD5値で生パスワードが漏洩するという事だけに付いて議論してるんだからね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
注意はよく読みましょう部門? (スコア:3, 参考になる)
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
Re:注意はよく読みましょう部門? (スコア:3, 参考になる)
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
Re:注意はよく読みましょう部門? (スコア:-1, フレームのもと)
それとも仮名で叩くのがAISTの仕事か?
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
Re:注意はよく読みましょう部門? (スコア:1)
誤入力ではなく一度変更している場合です。再び元に戻している場合には、変更が必要です。また、他のサイトで同じパスワードを使用している場合にも警戒が必要で、これらのことは知らされるべきです。
パスワードによっては短時間で復元されることがあります。
私は問題を見つけたのではありません。
Re:注意はよく読みましょう部門? (スコア:0)
あなたは他人の痛みがわからない人なんですね。
「MD5値からパスワードを復元できる」という前提が成り立てばその通りですが、そういう前提は成り立ちません。
は?何言ってるんですか?
類推可能なパスワードをMD5して該当MD5値と一致したら「復元された」と言ってますか?
それはMD5値を復元したのではなく、類推したパスワードをMD5値で検証しただけ
Re:注意はよく読みましょう部門? (スコア:2)
あなたの用語の使い方に従えば、それは間違いですね。 MD5値からパスワードを「検証」できるという前提が成り立てば「その通り」であるわけで、その前提は成り立ち得ます。
上に書いたとおりです。それを広い意味で「復元」と呼ぶか、狭い意味で「検証」と呼ぶか、用語の使い方次第です。
Re:注意はよく読みましょう部門? (スコア:0)
もしかして私バカにされてるんだろうか?
まぁACだからいいけど。
私は、MD5値が漏れる事=パスワードが漏れる事、という論理が飛躍しすぎていると言ってるのであって、辞書攻撃で解読されてしまう程度のパスワードはユーザのパスワード管理の問題だと思います。
そもそも、MD5値が漏れるのが「パスワード漏洩の脆弱性」と言うのであれば、APOPも「パスワード漏洩の脆弱性」を抱えている事になりますね。
SlashcodeにAPOP以上のセキュリティを求めるあなたのバランス感覚がおかしいとは思いませんか?
Re:注意はよく読みましょう部門? (スコア:1)
ご存じない(失念を含む)からとしか、あり得ないご発言があった(「ターゲットへパスワードを入れてみれば検証できます」の部分がそれに該当)ため、そのように書いたしだいです。違いますか?
最近の辞書攻撃の能力はかなりのものがありますが、それに絶えうるパスワードをつけている人がどれくらいいるかということと、いずれにしても、だからといってチャラになる話ではないでしょう。
Re:注意はよく読みましょう部門? (スコア:0)
同等の効果が得られても同じ事ではありませんね。
指摘する側が、そういう「センセーショナルな嘘(というか誇大表現)」をするから反発を受けるのでは?
Re:注意はよく読みましょう部門? (スコア:1)
センセーショナルでも誇大でもありません。なぜなら、
Re:注意はよく読みましょう部門? (スコア:0)
だから「同等でも同じものじゃない」でしょ。
なぜ「アカウント乗っ取りのリスク」という正確な表現ができるのに、「パスワード漏洩のリスク」という似ているけど嘘の表現をしますか?
Re:注意はよく読みましょう部門? (スコア:1)
同等ですし同じものです。(あなたの、その「同じもの」という言葉の使い方には、どのような意義があるのですか?)
同じものなのですから、正確な表現ですし、ましてや嘘の表現ではありません。
どこが同じでないのですか?つまり、 スラッシュドットだけにしかそのパスワードを使わない人にとって、 「アカウントを乗っ取られる」と説明される
Re:注意はよく読みましょう部門? (スコア:0)
パスワードをたとえば「foo1234」としている人がいたとして、「foo1234
Re:注意はよく読みましょう部門? (スコア:1)
Re:注意はよく読みましょう部門? (スコア:0)
だから、その固定文字列部分が知られちゃうと、他で/.と違うパスワード付けてても類推できる確率が段違いに上がるでしょ。
そういう付け方をしてる人がいるっていう実例はこのへん [srad.jp]見れ
Re:注意はよく読みましょう部門? (スコア:1)
Re:注意はよく読みましょう部門? (スコア:0)
それなのに、あなたは生パスワードの漏洩とMD5値の漏洩は同値であると主張してる。
くだらない言い訳を聞きたくないからあらかじめ書いとくけど、ここで言ってるのは/.にログインできてしまうというMD5値そのもので発生する脆弱性の事じゃなくてMD5値で生パスワードが漏洩するという事だけに付いて議論してるんだからね。
で、APOPでも一定のセキュリティ機構として(暗黙の)了解されているMD5ハッシュが、何でSlashcodeに限って即
Re:注意はよく読みましょう部門? (スコア:1)
Re:注意はよく読みましょう部門? (スコア:0)
>そのような議論をしていないからです。
名言だね~。
僕も使わせて貰うことにするよ(笑
Re:注意はよく読みましょう部門? (スコア:0)
(本人に自覚がないらしいので始末におえない。)