アカウント名:
パスワード:
まさに、有効に機能したであろう事例が発生したわけだが、不要と言ってた人の意見が聞きたいな。
サービサーが4年後(!)に公表するまでの期間、利用者はずっとリスクにさらされていたわけだが、不要論者にとって、このリスクは許容可能なのかね。
パスワードの定期変更って、常に未知のセキュリティリスクに晒されてる場合には有効なのでは?未知じゃなくてもシステム側の能力不足で対処できないとか。
リスクが明るみになってからパスワード変更するのは随時変更って言うんじゃない?今回のDropboxの対応はこっちでしょ。定期変更が不要って言ってる人でも、随時変更まで不要と言ってる人はいないんじゃない?
別に漏洩以後の話に限定しないでも。定期変更の頻度にも寄るが、SHA1とbcryptの混在の後に漏洩した訳だから、最も変更頻度が高い人はbcryptの後に漏洩して更に変更してUser-Passの使えないセットが1個。頻度が低い又は変更しない人はSHA1が漏洩してSHA1がマッチするPassがずっと危険だった訳で。
それは該当するユーザーのパスワードを変更しなければ使えないようにすべきだったってことですか?それは定期変更とは話が違うような?全ユーザーに対して定期変更を要求しなくても、個別に対応すればよかったという形で。いや、今回の問題を考える上では鋭い指摘だと思いますけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
パスワードの定期的変更 (スコア:1)
まさに、有効に機能したであろう事例が発生したわけだが、不要と言ってた人の意見が聞きたいな。
サービサーが4年後(!)に公表するまでの期間、利用者はずっとリスクにさらされていたわけだが、
不要論者にとって、このリスクは許容可能なのかね。
Re: (スコア:0)
パスワードの定期変更って、常に未知のセキュリティリスクに晒されてる場合には有効なのでは?未知じゃなくてもシステム側の能力不足で対処できないとか。
リスクが明るみになってからパスワード変更するのは随時変更って言うんじゃない?今回のDropboxの対応はこっちでしょ。
定期変更が不要って言ってる人でも、随時変更まで不要と言ってる人はいないんじゃない?
Re:パスワードの定期的変更 (スコア:0)
別に漏洩以後の話に限定しないでも。
定期変更の頻度にも寄るが、
SHA1とbcryptの混在の後に漏洩した訳だから、
最も変更頻度が高い人はbcryptの後に漏洩して更に変更してUser-Passの使えないセットが1個。
頻度が低い又は変更しない人はSHA1が漏洩してSHA1がマッチするPassがずっと危険だった訳で。
Re: (スコア:0)
それは該当するユーザーのパスワードを変更しなければ使えないようにすべきだったってことですか?
それは定期変更とは話が違うような?全ユーザーに対して定期変更を要求しなくても、個別に対応すればよかったという形で。
いや、今回の問題を考える上では鋭い指摘だと思いますけど。