アカウント名:
パスワード:
そのファイルアクセスできる人全員で覗き放題か。
管理体制の問題でしかないと思う。パスワード平文で保持してようがいまいが、管理が甘ければ低い権限の従業員が個人データ覗けるだろうし、厳しければ平文パスワードにもアクセスできない。客のパスワードが分かったところで遊びでログインとかリスクまみれの行為まともな技術者ならできない。情報売り飛ばす方がまだマシ。もちろんやるならその他の顧客情報もセットだろう。セット売りならその他の顧客情報に比べてパスワードなんて大した価値はない…まあ使い方にはよるけど。
どう利用するかは運用?の問題なのでともかく、Instagram、Facebook ともあろう有名所が、そんな今どき初心者でもやらんようなしょーもない処理実装してるのが泣ける。
その理屈はわかるけど、常々おかしいと思ってるのはパスワードの価値をやたら高く設定して騒ぐ人らが多いこと。パスワードはたまたまハッシュ化して保持しやすい特性を持っているが、漏洩時の問題性はほかの個人情報も同じ、どころか、パスワードを正しく管理しているユーザーにとってはリセットさえ掛かればパスワードの漏洩なんてどうでもいいレベルですらある。個人情報は隔離保持されるのが最も重要な観点で、そこが守られるなら内部でのハッシュ化はある意味二の次でいい。
そりゃまあそれをやるのが常識ではあるけど、パスワードのハッシュ化だけで満足感を得ている人に情報保護への造詣を感じられない。
パスワードを正しく管理しているユーザーにとってはリセットさえ掛かればパスワードの漏洩なんてどうでもいいレベルですらある。
誰もがそんなことはできないから問題になるんだろ。
誰もがきちんと現実見てればこんな野暮な指摘も不要だが、お前みたいに現実を見ずに理想論振りかざすバカが居るのも事実なんだ、パスワードを正しく管理できないユーザーがいるのと同じようにね。
お前も問題の本質が何もわかっていない。パスワードだろうが他の情報だろうが、そもそも漏洩させてはならないということが。
今回漏洩したのがハッシュ化されたパスワードだからと言って、保護対象に設定していた情報が漏洩してしまったセキュリティ事故であることは何の変わりもない。ハッシュ化至高論者の重大な勘違いがそこにある。どういう訳か彼らはユーザーの名前よりもパスワードの方が重い情報だと考えている。はっきり言おう、そのユーザー個人の情報を軽視しているんだよ。パスワードを守れたならまだ恥ずかしくないとでも思っているのだろう。
「漏洩させてはいけない」で思考停止してるからダメなんだよ。そんなのは対策でも対案でも方法でもない、ただの腐った根性論だ。漏洩させないでくださいって言われて漏洩させない運用ができるなら誰も苦労はない。だから次善の策として漏洩しても被害が少なくなる施策が要求されるのが理解できんのかね?
それとも「現実的なコストで絶対に漏洩が発生しないシステム運用」とかできるの?それができるなら、こんな掲示板で管を巻いてないで、とっととそういうソリューション作れよ。AppleやGoogle、MSが霞んで見えるぐらいの圧倒的なIT企業作れるぞ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
平文関係ない (スコア:0)
そのファイルアクセスできる人全員で覗き放題か。
管理体制の問題でしかないと思う。
パスワード平文で保持してようがいまいが、管理が甘ければ低い権限の従業員が個人データ覗けるだろうし、
厳しければ平文パスワードにもアクセスできない。
客のパスワードが分かったところで遊びでログインとかリスクまみれの行為まともな技術者ならできない。
情報売り飛ばす方がまだマシ。もちろんやるならその他の顧客情報もセットだろう。
セット売りならその他の顧客情報に比べてパスワードなんて大した価値はない…まあ使い方にはよるけど。
Re:平文関係ない (スコア:1)
どう利用するかは運用?の問題なのでともかく、Instagram、Facebook ともあろう有名所が、そんな今どき初心者でもやらんようなしょーもない処理実装してるのが泣ける。
Re: (スコア:0)
その理屈はわかるけど、常々おかしいと思ってるのはパスワードの価値をやたら高く設定して騒ぐ人らが多いこと。
パスワードはたまたまハッシュ化して保持しやすい特性を持っているが、漏洩時の問題性はほかの個人情報も同じ、どころか、
パスワードを正しく管理しているユーザーにとってはリセットさえ掛かればパスワードの漏洩なんてどうでもいいレベルですらある。
個人情報は隔離保持されるのが最も重要な観点で、そこが守られるなら内部でのハッシュ化はある意味二の次でいい。
そりゃまあそれをやるのが常識ではあるけど、パスワードのハッシュ化だけで満足感を得ている人に情報保護への造詣を感じられない。
Re: (スコア:0)
パスワードを正しく管理しているユーザーにとってはリセットさえ掛かればパスワードの漏洩なんてどうでもいいレベルですらある。
誰もがそんなことはできないから問題になるんだろ。
誰もがきちんと現実見てればこんな野暮な指摘も不要だが、お前みたいに現実を見ずに理想論振りかざすバカが居るのも事実なんだ、パスワードを正しく管理できないユーザーがいるのと同じようにね。
Re: (スコア:0)
お前も問題の本質が何もわかっていない。パスワードだろうが他の情報だろうが、そもそも漏洩させてはならないということが。
今回漏洩したのがハッシュ化されたパスワードだからと言って、保護対象に設定していた情報が漏洩してしまったセキュリティ事故であることは何の変わりもない。
ハッシュ化至高論者の重大な勘違いがそこにある。どういう訳か彼らはユーザーの名前よりもパスワードの方が重い情報だと考えている。
はっきり言おう、そのユーザー個人の情報を軽視しているんだよ。パスワードを守れたならまだ恥ずかしくないとでも思っているのだろう。
Re: (スコア:0)
「漏洩させてはいけない」で思考停止してるからダメなんだよ。そんなのは対策でも対案でも方法でもない、ただの腐った根性論だ。
漏洩させないでくださいって言われて漏洩させない運用ができるなら誰も苦労はない。
だから次善の策として漏洩しても被害が少なくなる施策が要求されるのが理解できんのかね?
それとも「現実的なコストで絶対に漏洩が発生しないシステム運用」とかできるの?
それができるなら、こんな掲示板で管を巻いてないで、とっととそういうソリューション作れよ。AppleやGoogle、MSが霞んで見えるぐらいの圧倒的なIT企業作れるぞ。