アカウント名:
パスワード:
他でよくある >任意のコードを実行できる ってのとはちょっと違いますね、危機レベルが。
セキュリティ製品がセキュリティ上の穴を もってるというのは、問題の深刻さとして ランクが違うと思うのです。
セキュリティ製品を作る人は通常の開発者よりも セキュリティについて詳しい人であるべきで、 その開発は他の製品よりもより厳しい製造設計監査 プロセスを経ているべきであり、 おそまつな設計ミスがあったってことは、 これらがしかるべく機能していない可能性があるという ことを意味しています。
結局それなりにコンピューターのことが分かってないと 「悪用」する「方法」を思いつかないわけです。
先ほど試したけどダメでした。 もちろん自分のアカウントで、ですが。
Takeshi HASEGAWA
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
この穴・・・ヤバいですね (スコア:3, 興味深い)
>任意のコードを実行できる
ってのとはちょっと違いますね、危機レベルが。
任意のコードを実行できる穴というものは、
結局それなりにコンピューターのことが分かってないと
「悪用」する「方法」を思いつかないわけです。
どのようなプログラムコードを走らせればいいか分からないレベルの
人間(私のような)には悪用は出来ないわけです。
でも、
>具体的には特定のURLを開くことにより、被害者のアカウントのパスワードを
>再設定するためのURLが攻撃者の指定する任意のメールアドレスに送られてしまう
なんていうのは、「特定のURL」の作り方さえわかっていれば、メーラーとブラウザの使い方しか
わからないようなレベルの人間にも悪用が出来るわけですね。
ヤバいことには、個人情報が漏れるだけでなく、そいつのHotmailをつかうことで
「なりすまし」なんてことも出来てしまうわけですね。ターゲットが顔見知りだったら、
人間関係をグダグダに壊すことも可能ということですね。ターゲットがHotmailを頻繁に使う人であれば。
速攻、個人情報削除しました。
Re:この穴・・・ヤバいですね (スコア:2, すばらしい洞察)
セキュリティ製品がセキュリティ上の穴を もってるというのは、問題の深刻さとして ランクが違うと思うのです。
セキュリティ製品を作る人は通常の開発者よりも セキュリティについて詳しい人であるべきで、 その開発は他の製品よりもより厳しい製造設計監査 プロセスを経ているべきであり、 おそまつな設計ミスがあったってことは、 これらがしかるべく機能していない可能性があるという ことを意味しています。
Re:この穴・・・ヤバいですね (スコア:1)
そ、そうかな。
「それなり」にはいろんな解釈が可能ではあるけど、任意の
コードを実行できるような穴の場合、とりあえずソフトを
ダウンロードしてインストールして実行できる程度の知識が
あれば、悪用は出来るんじゃないの。
繋がってさえいれば、悪用の詳しい手順を自分で発明する必要は
ないんだから。誰か一人だけは発明する必要があるだろうが。
URLの方は、設定によっては自動的に開くブラウザや、相手に
開かせるテクニックがかなり存在するとはいえ、実行には一応
ワンステップあると思う。
Re:この穴・・・ヤバいですね (スコア:0)
これならHotMail以外にもう一つメールアドレスを持っている人であれば、自分のHotMail IDがクラック出来るか誰でも簡単に試せそうな気かしますが、誰か試してみませんか?
#もう対策されているかな...
Re:この穴・・・ヤバいですね (スコア:1)
先ほど試したけどダメでした。
もちろん自分のアカウントで、ですが。
Takeshi HASEGAWA
Re:この穴・・・ヤバいですね (スコア:0)
Re:この穴・・・ヤバいですね (スコア:0)
ってゆうか、削除する以前に登録してあること自体、ヤバイと思います。
管理意識、低すぎませんか?
Re:この穴・・・ヤバいですね (スコア:1, すばらしい洞察)
Passportってのは本来そういう使い方をするものです。
カード番号やオンラインバンキングのパスワードなども含む
あらゆる個人情報(それもとびきり濃いやつ)を集中管理することで
管理の手間を減らし、情報の出入りを監視しやすくすることで
安全性を高めるのがその役割です。
ですから通常のアプリケーションよりはるかに堅牢なセキュリティが求められますし、
MSはそれを達成していると公言してきたわけです。
単に捨てアドのパスが漏れますよー、というレベルの事件ではないのですよこれは。
#まあMSの言うことを信じること自体管理意識の欠如だ、というのは同意できるけど
#Passport使わないと利用できないサービスもいっぱいあるんだよ
Re:この穴・・・ヤバいですね (スコア:0)
Re:この穴・・・ヤバいですね (スコア:1, おもしろおかしい)
やっぱり危機管理意識が(w
Re:この穴・・・ヤバくないですね (スコア:0)
しかしながら今回の脆弱性は怪しいメールを開かないだけで回避
Re:この穴・・・ヤバくないですね (スコア:0)
違いますよ?
あなたが知らぬ間に、他人があなたのパスワードを変更できてしまうというセキュリティホールなので、MSがきちんと対応しない限りユーザーは自衛できないはずです。