パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LINE、他人のアカウントに影響を与える脆弱性の検証を行わないようセキュリティ研究者へ要請」記事へのコメント

  • 「セキュリティ研究者」ってのもアレだねえ。ものは言い様だね。

    • by Anonymous Coward

      おまえ、jbeefさんに後で吊るされるぞ

  • by Anonymous Coward on 2020年11月24日 18時18分 (#3929821)

    わざわざ誤解しやすいようにタイトルつけてるの?

    • by renja (12958) on 2020年11月24日 19時09分 (#3929863) 日記

      このままでは「他人のアカウントに影響を与える脆弱性」の検証を行わないように要請したと読めますね。

      実際には、検証を行うときは他人のアカウントに影響を与えないように要請したというごく当たり前の話。

      --

      ψアレゲな事を真面目にやることこそアレゲだと思う。
      親コメント
      • by Anonymous Coward on 2020年11月24日 23時55分 (#3930050)

        当たり前に思えてしまうんだけど、
        脆弱性なんだから何が起こるかわからんのに、他人のアカウントに影響を与えないって難しいぞ。

        親コメント
        • by Anonymous Coward

          「他人に迷惑を掛けるな」並みの無理ゲー感

        • by Anonymous Coward

          ・脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。

          ・当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。

          「他人」!=「協力者」

        • by Anonymous Coward

          要は善管注意義務を果たせって話でしょ
          まともなセキュリティ研究者は一般ユーザを巻き込んでバグを確認なんかしない

    • by Anonymous Coward

      > 当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり~
      こっちの方がやべー

      • by Anonymous Coward on 2020年11月24日 18時29分 (#3929825)

        普通だよ
        攻撃が確認されてない限りは非公開で通知
        対応期間を区切ってそれでも対応されなければ公開が基本

        親コメント
    • by Anonymous Coward

      すまん、アホな俺に何を何と誤解したのか教えてくれ。

      • by Anonymous Coward on 2020年11月24日 18時35分 (#3929829)

        「脆弱性の検証を行わないよう要請」したように読めました。
        本文を読んでみると「他人のアカウントをに影響を与えることのないよう検証を行ってください」と書いてある。
        わざわざ「行わないよう」と言い換えてあるあたりに悪意があるな、と。

        親コメント
        • by Anonymous Coward

          確かにちょっとわかりにくいかもしれないけど、わかりにくいだけで悪意とかいうレベルではないと思うよ

          実際、私は誤読しなかったので

      • by Anonymous Coward on 2020年11月24日 19時40分 (#3929896)

        > 「他人のアカウントに影響を与える脆弱性」の検証を行わないようセキュリティ研究者へ要請
        実質的に脆弱性を検証すんじゃねー宣言と同じ

        > 他人のアカウントに影響を与える(方法での)脆弱性の検証を行わないようセキュリティ研究者へ要請
        やっても良いけど他人に影響与えんじゃねーってだけ

        俺も初めは前者かと思った
        後者ならニュースにならん、当たり前だもの

        親コメント
    • by Anonymous Coward

      タレコミ時からこのタイトルだったので気付いたときにコメント付ければストーリー採用時に直してくれるんかね
      「LINE、脆弱性の検証で他人のアカウントに影響を与えないようセキュリティ研究者へ要請」にすべきだったと思う

  • by Anonymous Coward on 2020年11月24日 20時06分 (#3929910)

    こないかな?

    • by Anonymous Coward

      転職したんで少なくとも中の人としての声は聞けないな

  • by Anonymous Coward on 2020年11月24日 20時46分 (#3929936)

    この家には空き巣に入らないでくださいと立札を立てれば良いってこと?

  • by Anonymous Coward on 2020年11月24日 21時59分 (#3929988)

    ってことですかね?

    • by Anonymous Coward

      ごめん、何が言いたいのか分からない。
      上島メソッド? LINEがセキュリティ研究者に脆弱性暴露を推奨して、何の得が?

  • by Anonymous Coward on 2020年11月24日 23時21分 (#3930024)

    もう導入済みかと思ったら「一部の機能には未実装」みたいですね。どうなんでしょう。
    https://linecorp.com/ja/security/article/330 [linecorp.com]

    かつては二段階を設定しても乗っ取られたと主張するユーザーもいたようですが、どっちにしても大規模なブルーとアタックが
    継続しているようで、これ二段階認証無しではちょっとおっかないですね。
    一時期業務に使おうとした偉い人がいましたが、情シスから止められてました。なぜでしょう。よくわかりません。(棒

    • by Anonymous Coward

      割と最近、乗っ取られてはないけど、ほかの端末のLINEから電話番号で認証したよ、ログインしたよって通知はきたことあるな。
      こっちにはその認証用のSMSすら来てないっていうのに。

  • by Anonymous Coward on 2020年11月25日 14時15分 (#3930359)

    電話番号なんて変更や移動が前提のものを個人のIDとして使用する欠陥仕様をどうにかしろよ。
    そのせいで昔から何も落ち度のない無関係なユーザーに迷惑かけている癖に。
    他人の落ち度に文句つけるなら、その前に自分の落ち度を謝罪しろよ。

    • by Anonymous Coward

      電話番号なんて変更や移動が前提のものを個人のIDとして使用する欠陥仕様をどうにかしろよ。

      逆に電話番号以外で個人の認証に向くものって何になります?
      セキュリティが担保され、かつ一般的なスマートフォンユーザーが使いやすいもので。

      • by Anonymous Coward

        TOTPではいかんのか

        • by Anonymous Coward

          TOTPではいかんのか

          TOTPを使いこなせるユーザーがどれぐらいいるか、じゃないですかね。
          銀行系などは物理的なトークンを強制することで安全性を担保するのは必要でしょうけど、
          そこまではできないサービスの場合が悩ましいのかなぁと。
          だからアプリでのTOTPを採用しているサービスでも強制まではできてない気がします。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...