アカウント名:
パスワード:
OCNは無実で、ロジテックがやらかした結果なのか?OCN以外でも同様の事象って発生したのだろうか。
詳細がわからないので推測してみる。
ロジテックの無線ルータに、WANから管理画面にアクセスできる問題があった。ただし、これだけでCVSSのスコアが7.5になる?
管理画面のところへアクセスができても、その前に管理画面の認証を突破する必要があるが、ブルートフォースで突破したとは考えにくい。よって考えられるのは次の2点。
(1) パスワードが製品の工場出荷状態のままだった(2) 認証をバイパスする脆弱性があった
というわけで、可能性として高いのは(1)。ユーザがデフォルトのパスワードのままにしていたんじゃないだろうか?
こういう製品はデフォルトのパスワードではなく、一番最初の設定で管理者パスワードを決めさせるフローで設計したほうがいい気がする。
それやると、問い合わせ窓口で一番多い質問が「パスワードを忘れたんですけど…」になってしまう。悩ましいっす。
物理的にアクセスされる場合は仕方ないと割切って、パスワードリセットボタンを付けておくとか。あるいは、WANポートとLANポートをUTPケーブルで直結(ループ)させて○○秒経つとパスワードだけリセットされる仕組み突っ込んでおくとか。
同感です。少なくとも家庭用用途で、ルータの脆弱性の保険としてパスワード設定を必須にするのは親切ではないと思います。コストの掛からない補強案としては、本体に貼り付け可能な、ランダム生成のパスワードシール(任意使用)を添付する、とかですかね…
>コストの掛からない補強案としては、本体に貼り付け可能な、ランダム生成のパスワードシール(任意使用)を添付する、とかですかね…
これに一票
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
つまり (スコア:1)
OCNは無実で、ロジテックがやらかした結果なのか?
OCN以外でも同様の事象って発生したのだろうか。
Re:つまり (スコア:1)
詳細がわからないので推測してみる。
ロジテックの無線ルータに、WANから管理画面にアクセスできる問題があった。
ただし、これだけでCVSSのスコアが7.5になる?
管理画面のところへアクセスができても、その前に管理画面の認証を突破する必要があるが、ブルートフォースで突破したとは考えにくい。
よって考えられるのは次の2点。
(1) パスワードが製品の工場出荷状態のままだった
(2) 認証をバイパスする脆弱性があった
というわけで、可能性として高いのは(1)。
ユーザがデフォルトのパスワードのままにしていたんじゃないだろうか?
こういう製品はデフォルトのパスワードではなく、一番最初の設定で管理者パスワードを決めさせるフローで設計したほうがいい気がする。
Re: (スコア:0)
こういう製品はデフォルトのパスワードではなく、一番最初の設定で管理者パスワードを決めさせるフローで設計したほうがいい気がする。
それやると、問い合わせ窓口で一番多い質問が「パスワードを忘れたんですけど…」になってしまう。悩ましいっす。
Re: (スコア:0)
物理的にアクセスされる場合は仕方ないと割切って、パスワードリセットボタンを付けておくとか。
あるいは、WANポートとLANポートをUTPケーブルで直結(ループ)させて○○秒経つとパスワードだけリセットされる仕組み突っ込んでおくとか。
Re: (スコア:0)
同感です。
少なくとも家庭用用途で、ルータの脆弱性の保険としてパスワード設定を必須にするのは親切ではないと思います。
コストの掛からない補強案としては、本体に貼り付け可能な、ランダム生成のパスワードシール(任意使用)を添付する、とかですかね…
Re: (スコア:0)
>コストの掛からない補強案としては、本体に貼り付け可能な、ランダム生成のパスワードシール(任意使用)を添付する、とかですかね…
これに一票