アカウント名:
パスワード:
どの事象をさして「不正アクセス」としているのか皆目判らない。わざと曖昧にしているのかね?
まあ、はっきり言うと1番はどうでもいいので2番の経緯が知りたいですね。客寄せになる芸能人のブログを個別にケアしたりそのコンテンツに対して運営会社が介入するのは別に驚くべきことじゃないけど、、、なんで管理者がPasswordを平文で管理しなきゃいけないかは、全くもって想像の埒外ですなぁ。
>なんで管理者がPasswordを平文で管理しなきゃいけないかは、>全くもって想像の埒外ですなぁ。アメブロのサービスを横で見て、経営の主導権を握っているのが非技術者で、薄利多売(webサイトトップにぜ~んぶ無料!)を信条としていて、ノーガード戦法というセキュリティネタを耳にしたことがあったなら、冗談でも「なんで?」じゃなくて「ああ、やっぱり」と考えた方が良いんじゃないですか?
いやぁ、パスワードの管理方式なんて現場(技術者)が決めるでしょwいちいちそんな事口出すと思えんし。なんでも経営のせいにするのはどうかと思うよ。
技術者によってシステム上のパスワード管理がハッシュ等で適切に管理されていたとしても、「パスワード覚えない芸能人が毎回聞いてくるのでそのたびに教える」ような運用を決定するのは技術者じゃない。結果として、技術者の賛同しないところで、技術者じゃない人間がIDパスワードセットをもっていても不思議ではない。それが漏れたって話でしょう、これ。
一般人のIDリストが漏れたわけではないらしいので、なおさらこう読むのが筋だと思うけども。
回り回っては、経営の責任ですよ。『安全とは、災害が起きていない状態ではなく、災害を防止する取り組みが継続的に実施されている状態を言う』 -- 某大手ゼネコンの現場に必ず掲載されている標語です。
ITゼネコンなんて呼び方、本物のゼネコンに失礼ですよねぇ。。
どう考えても中の人としか思えないコメントがさっきから混ざってる。察してやれよ…
予算が付かず時間ももらえず人材も確保されないなら、より安易な方法に流れるような
ありそうな話として。
現場「パスワードのハッシュ機能を実装する必要があります。」社長「そんなことは後でいいから、先にこっちの機能を実現してくれ。」
現場「しかし、ハッシュせずに生パスワードで保存していた場合、パスワード流出のリスクが……」社長「こまけぇこたぁいいんだよ!!」
無理。
コスト、お金、わかります?ハッシュ化かプレーンテキストかで運用/保守コストを見積もった場合、ハッシュ化の方が見かけ上のコストは大きいです。
「何で安くで済むプレーンテキストでやらなかったんだー!」とか「ユーザがパスワードを忘れた場合どうするんだね?メールひとつ送り直すだけで済むだろう?」とか言ってきますよ?総務とか重役とか。開発の発言力がいくら強くても、お金の問題になる以上現場で決めずに上役に任せた方が幸せです。
#「ISMSをまず勉強してください(キリッ」なーんてね。
たとえばJR福知山線脱線事故や、森ビルの回転ドア死亡事故はいずれも経営者が責任を問われていますよ。パスワードの保存方法は生命に関することとは言えませんが利用者の財産にかかわることは間違いないです。
現場が暗号化について知らないとすればそれも教育をおこったった経営の責任です。
この場合の「経営の責任」とは、漏洩した時に500円の金券相当のお詫びを送ることでしょうか。
その程度で責任がとれると思われてる限り、経営者がセキュリティを真面目に検討する日は永遠に来ないだろうな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
何を不正アクセスとしているのか不明 (スコア:1)
どの事象をさして「不正アクセス」としているのか皆目判らない。わざと曖昧にしているのかね?
まあ、はっきり言うと1番はどうでもいいので2番の経緯が知りたいですね。
客寄せになる芸能人のブログを個別にケアしたりそのコンテンツに対して運営会社が介入するのは
別に驚くべきことじゃないけど、、、なんで管理者がPasswordを平文で管理しなきゃいけないかは、
全くもって想像の埒外ですなぁ。
Re:何を不正アクセスとしているのか不明 (スコア:0)
>なんで管理者がPasswordを平文で管理しなきゃいけないかは、
>全くもって想像の埒外ですなぁ。
アメブロのサービスを横で見て、
経営の主導権を握っているのが非技術者で、
薄利多売(webサイトトップにぜ~んぶ無料!)を信条としていて、
ノーガード戦法というセキュリティネタを耳にしたことがあったなら、
冗談でも「なんで?」じゃなくて「ああ、やっぱり」と
考えた方が良いんじゃないですか?
Re: (スコア:0)
いやぁ、パスワードの管理方式なんて現場(技術者)が決めるでしょw
いちいちそんな事口出すと思えんし。
なんでも経営のせいにするのはどうかと思うよ。
Re:何を不正アクセスとしているのか不明 (スコア:2, 興味深い)
技術者によってシステム上のパスワード管理がハッシュ等で適切に管理されていたとしても、
「パスワード覚えない芸能人が毎回聞いてくるのでそのたびに教える」ような運用を決定するのは技術者じゃない。
結果として、技術者の賛同しないところで、技術者じゃない人間がIDパスワードセットをもっていても不思議ではない。
それが漏れたって話でしょう、これ。
一般人のIDリストが漏れたわけではないらしいので、なおさらこう読むのが筋だと思うけども。
Re:何を不正アクセスとしているのか不明 (スコア:1)
回り回っては、経営の責任ですよ。
『安全とは、災害が起きていない状態ではなく、災害を防止する取り組みが継続的に実施されている状態を言う』 -- 某大手ゼネコンの現場に必ず掲載されている標語です。
ITゼネコンなんて呼び方、本物のゼネコンに失礼ですよねぇ。。
Re: (スコア:0)
どう考えても中の人としか思えないコメントがさっきから混ざってる。
察してやれよ…
Re: (スコア:0)
予算が付かず時間ももらえず人材も確保されないなら、より安易な方法に流れるような
Re: (スコア:0)
ありそうな話として。
現場「パスワードのハッシュ機能を実装する必要があります。」
社長「そんなことは後でいいから、先にこっちの機能を実現してくれ。」
現場「しかし、ハッシュせずに生パスワードで保存していた場合、パスワード流出のリスクが……」
社長「こまけぇこたぁいいんだよ!!」
Re: (スコア:0)
無理。
コスト、お金、わかります?
ハッシュ化かプレーンテキストかで運用/保守コストを見積もった場合、
ハッシュ化の方が見かけ上のコストは大きいです。
「何で安くで済むプレーンテキストでやらなかったんだー!」とか
「ユーザがパスワードを忘れた場合どうするんだね?メールひとつ送り直すだけで済むだろう?」とか
言ってきますよ?総務とか重役とか。開発の発言力がいくら強くても、
お金の問題になる以上現場で決めずに上役に任せた方が幸せです。
#「ISMSをまず勉強してください(キリッ」なーんてね。
Re: (スコア:0)
たとえばJR福知山線脱線事故や、森ビルの回転ドア死亡事故はいずれも経営者が責任を問われていますよ。パスワードの保存方法は生命に関することとは言えませんが利用者の財産にかかわることは間違いないです。
現場が暗号化について知らないとすればそれも教育をおこったった経営の責任です。
Re:何を不正アクセスとしているのか不明 (スコア:1)
この場合の「経営の責任」とは、漏洩した時に500円の金券相当のお詫びを送ることでしょうか。
その程度で責任がとれると思われてる限り、経営者がセキュリティを真面目に検討する日は
永遠に来ないだろうな。
Re: (スコア:0)