セキュアでないOCNセキュリティニュース 39
ストーリー by Oliver
開いた口が..... 部門より
開いた口が..... 部門より
k3c 曰く、 "OCNセキュリティニュースという、セキュリティ情報を無料でメール配信するサービスが、非OCN会員も利用できる形式で始まったようです(ntt.comニュースリリース)。ところが、セキュリティホールmemoの記事によれば、会員登録のページがhttps://なのにフレームで表示しているためにIEでは鍵アイコンが表示されず証明書を確認できない、登録確認メールにパスワードが平文で記されている、会員登録変更画面で入力したパスワードが次画面に表示されてしまう、タグも素通りする、あるメールアドレスが登録されているか否かが容易に判別できるなど、セキュリティ的にかなりアレゲな仕組みになっている模様。
あ、でも、利用規約は個人情報の漏洩に対して「責任を負いません」ということになっているからいいのか。…よくないって。"
22時現在(14th March) (スコア:1)
急いで登録したせいかなのか、それとも直したのか?
phpだからコンパイルもいらないし直すの簡単だからね。
URLの?のあとにいろいろ付けると他の穴にハマルかも?
Re:22時現在(14th March) (スコア:1)
パスワード確認画面については、GETメソッドを拒否する [ryukoku.ac.jp]という変更(修正とは言えない)が行われたようです。
また、その他の問題についても、いくつかはこっそり修正されている [ryukoku.ac.jp]そうです。
セキュリティに関する脆弱性の存在や修正の実施について、個人情報を預託したユーザーに対して明確な告知のないメディアに、セキュリティを語る資格があるのでしょうか。
大いに疑問です。
適当だからね。 (スコア:1)
富士通のユーザ登録もそうだったな。
セキュリティニュースはセキュアに送られて来るのか?
PGP署名でも付けてくれないと
OCNから来ている証明にならないのでは?
「なりすましセキュリティニュース」である可能性もある。
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
あれ? (スコア:1)
流れてきていた記憶があるのですが...
新しいSlashCodeではそうなっていないという事でしょうか?
暗号化しないポリシーなのならそれはそれで問題ない (スコア:3, すばらしい洞察)
それに対して、OCNセキュリティニュースでは、よくある質問 [ocn-infomail.com]で、
というポリシーを示しているのに、それが嘘だというところに問題があるという話でしょう。小島さんも見てるようだし、 (スコア:1, すばらしい洞察)
で、本題ですが、たとえば高木さんがポリシーに暗号化されてることが書かれているのに平文のパスワードが送られてくるのはおかしい、ってのは私には飛躍があると感じられる。現実にスニフされる可能性とどうでもいいパスワードを盗まれることの損失とを考えたらそれはほんとうにリスクといえるのか? そしてこのごくごく小さいリスクをOCNがどうすべきだったか、ほとんどのクロスサイトスクリプティングのように簡単に解決できればいいのですが、こちらは現実解がないわけです。もちろんセキュリティオタクはこうもできる、ああもできるって言うでしょうが。
同様のことはブラウザの鍵マークのことでもいえる。誰か書いてたようにフレーム化したことでOCNを責めるのは片手落ちでしょう。
OCNのようなサービスがもっと出てほしいし、その方がセキュリティ情報を浸透させるための方法論がみがかれると思っています。そのためには少々のあらをつつく完璧主義・原理主義よりは、情報の流し方、まとめ方のようなユーザビリティを向上させるような意見がより多くあってほしいです。技術に精通した人がなかなか把握できないほどセキュリティ情報は錯綜していますから。
ああ疲れた。
Re:小島さんも見てるようだし、 (スコア:1, すばらしい洞察)
OCNがリスクを小さく見ているなら、暗号化しなくてもよいからです。そういうセキュリティポリシーにすれば良いからです。WWWブラウザ経由では暗号化をしていてセキュリティポリシーに沿っていても、メールでは平文でパスワードが送られて来る。この両者の違いを記述しておけばよいわけです。そしてその理由も書いてくれれば、「メールではまずスニフされない」とか。
分けて考えた方がよいです。
・セキュリティポリシーを守っているのか
・セキュリティポリシー(採用している方法)は妥当か
セキュリティポリシーやプライバシーポリシーはサービスを利用する上で重要な部分です。この部分の整合性をとるのは重要なことです。整合が取れているかどうかを判断する能力を多くの人は持ち合わせていません。あらをつついているわけではないと思います。ユーザビリティの向上を求めているからこそサービス提供側に「ポリシーを守る努力を十分していますか?」と指摘しているのではないでしょうか。
錯綜していると言うよりは、乖離がありすぎる現状が問題だと思います。「責任分担はどこでされるのか」。これが成り立たない。あまりにも潜在的危険性が理解されていません。利便性向上と共に危険性も増加している現実はあります。
高木さんの書かれた内容を読むと、現状の問題点を十分過ぎるほど理解しているように私は感じます。「~すべきではないか」と書いてますよね。
勧誘で
1.絶対、値が上がります。
2.値が上がります。
3.値が上がるかもしれませんし、上がらないかもしれません。
4.値が上がる可能性があります。
バブル期には1を信じた人が多い。1の言葉による勧誘は問題があったらしい。なぜ「絶対」値が上がるのか。
利用者はセキュリティに関して完璧を求めるものだと思います。ここから変えるべきではないでしょうか。
根の深い問題だと思います。
よさげな企画なのに (スコア:0, フレームのもと)
Re:よさげな企画なのに (スコア:1, すばらしい洞察)
吠えられている部分はまさにセキュリティに関することでしょう。
一般の人はセキュリティに関する知識を十分には持ち合わせていません。それを提供しようという動きは大切なことですが、セキュリティがある程度確保できるにもかかわらず、それをしようとしていないのではないでしょうか。
セキュリティ情報、その信頼性の評価もできない人が多いのが現状ではないのでしょうか。その中で動き出すためには、多くの範囲をカバーできていてほしいです。このOCNセキュリティニュースがどの層を対象に提供しようとしているのかよくわかりませんが、一般を対象としているならそうあるべきではないでしょうか。
淘汰するかどうかの判断が出来るように知識を提供できるだけの教育が必要だと…。
個人的には、利用規約をもっと大きいサイズで表示してほしいと思ったです。そりゃ表示しようと思えば大きくは出来ますが、ほとんどの人が使っているであろうInternetExplorerでどれだけの人が自力でそこまでできるのか。セキュリティとは関係ないかもしれませんが、そういうところからはじめなければならないと思ってしまっています。
書いている事は守ろう。セキュリティ情報を提供するサイトなら、自分が書いたセキュリティポリシーを守る努力をしてほしい。その上でセキュリティポリシーがいかなるものかを登録者に教えてほしい。
あれ…、どっちが先だろ。セキュリティポリシーを理解してもらってから提供?
指摘にどう対応するかはセキュリティポリシーの範疇か経営の範疇、どっちなんだろう。
Re:よさげな企画なのに (スコア:1)
そんなにご不満ならば memoML に直接ポストすればどうですか?
ひとつの意見としてそれなりの態度で発言すればまっとうな議論をできるかもしれませんよ。ここでも memoML でも。
…ああ、議論する気は最初からないのかもしれませんね。
自己顕示欲ばっか (スコア:0, フレームのもと)
だいたい、セキュリティの甘いサイトは、それがひどいものであればあるほどユーザが離れていって自然淘汰されるもの。いちいち指摘して回る「親切」は、要するに子供っぽい連中のやることだよ。
誰が「あなたのうちのカギあいてますよ!」なんて大声で言いながらご近
Re:自己顕示欲ばっか (スコア:0, 荒らし)
だいたい、ラベル表示のいい加減な食品会社は、それがひどいものであればあるほど消費者が離れていって自然淘汰されるもの。いちいち指摘して回る「親切」は、要するに子供っぽい連中のやることだよ。
誰が「あなた嘘ついてますよ!」なんて大声で言いながらご近所を回るか
Re:自己顕示欲ばっか (スコア:1)
「よさげな企画なのに」は、内容そのものはともかく、タレコミに沿った意見を述べてるから良いと思う。
しかし、「自己顕示欲ばっか」以下の書き込みは、すっかり的外れになってる上に、文章がまとまってない。
まぁ、ただのストレス解消なら止めないが、もうちょっと妥当な場所でやって欲しい。
Re:自己顕示欲ばっか (スコア:1)
食品メーカがラベル表示に「責任を負いません」なんていつ言ったよ?
#しかもそれで「素晴らしい洞察」かよ…
だいたい、
> 会員登録のページがhttps://なのにフレームで表示しているためにIEでは鍵アイコンが表示されず証明書を確認できない
それはお前のブラウザの問題だろ。
それから、このサービスのパスワードを他人に知られてしまった場合の
リスクって、具体的にどんなものがあるんだ?
(入会してないからどうなんだかわからん)
# mishimaは本田透先生を熱烈に応援しています
Re:自己顕示欲ばっか (スコア:1)
Re:自己顕示欲ばっか (スコア:0)
いちばんした (スコア:1)
Re:いちばんした (スコア:0)
さて、その内容を見ると、
Re:いちばんした (スコア:0)
そして、よくある質問のページ [ocn-infomail.com] には次のようにはっきりと書かれています。
Re:いちばんした (スコア:0)
Re:いちばんした (スコア:0)
あなた、NTTのシト?
Re:自己顕示欲ばっか (スコア:1)
> それはお前のブラウザの問題だろ。
この問題ですが、現在は、かつてフレームを表示していたOCNセキュリティニュースのWebページ [ocn.ne.jp]にアクセスすると、かつてフレーム内に表示していたページ [ocn-infomail.com]へリダイレクトするように変更されています。OCN側もこれを問題と認識して修正したようで、結果として現在はIEでも会員登録ページ [ocn-infomail.com]で鍵アイコンが表示されるようになっています。
会員登録のページに「現在ご使用のブラウザソフトは何ですか」という質問があり、その選択肢のトップにInternet Explorerが挙げられているのだから、IE(やその他選択肢に挙げられているソフト)で問題なく使用できることくらいは、サービス提供前のテストで確認して欲しいものです。
# どうでもいいけど選択肢に「Mozzila」というのがあります…(笑)
つまり、 (スコア:0, フレームのもと)
#それにしちゃ「自然淘汰」されてないようだが > Windows
M$さんは (スコア:2, すばらしい洞察)
元の話題に戻ると「セキュリティ」には「正しいセキュリティポリシー」と「間違ったセキュリティポリシー」があるのではなく、各々が違った価値観で違ったポリシーを持っているのであって、それを相互に批判する、持ち上げる、ということもあって良いと思う。
でも「それは自分の持っているセキュリティポリシーに合わないから直せ」というのは、あまりにも自分勝手と思います。
普通は、「そういう<自分の持つ>セキュリティポリシーにあわないサイトは使わない」でいいと思います。
そういうサイトが自分のところのセキュリティポリシーの不備で他人に迷惑をかけた場合は、そのときに社会的な罰を受ければよい、ということだと思います。だって、「うちのサイトは毎年アクセスが5くらいしかないの」というところに「おまえのサイトはセキュリティポリシーがなってない」なんて、言っても、しょうがないかも知れないことでしょう?
要するに「セキュリティポリシーの押し売りは迷惑」という当たり前のことを言いたいのだと思うけど。
Re:M$さんは (スコア:2)
Re:M$さんは (スコア:1, 荒らし)
それ、たしかめてみました?
Re:M$さんは (スコア:2)
ユーザは、ユーザに対して示されているセキュリティポリシーしか見えなくて当然で、そこに事実と異なるポリシーが書かれていて、問題がないとでも?
表に出ていないセキュリティポリシーが同社にあったとして、それが何か?
Re:M$さんは (スコア:1, すばらしい洞察)
>それ、たしかめてみました?
確認する義務が誰かにあるとすれば、それは「裏のセキュリティポリシー」の存在を主張する側にあるのでは?
#UFOの不在を主張する側に証明責任を転嫁するトンデモ屋さんの手口と同じでしょ
結果として不可知論に行き着くならばその程度の話だし.
推測でものを言うなと言ってるわけではなくて,相手に証明責任を要求するのはちょっと違うでしょう,という指摘.
Re:M$さんは (スコア:1, すばらしい洞察)
> それ、たしかめてみました?
あなたは電波さんですか;-b
唐突に「表に出ているセキュリティポリシー」だの他の会社だの
言い出さないでね。
そんなの、今回のケースに何が関係あるの?
OCNとそのサービスを受けるユーザ間のお約束ごとの一つが
「セキュリティポリシー」なわけよね。で、これをOCNは守ります、
言って守ってなかったと。そこが問題なんでしょ?
それ以上でもなければそれ以下でもない。
それと関係ない話持ち込んで、他人を不当に陥れようとしている
時点で、あなたは荒らしクンと変りませんよ。
Re:自己顕示欲ばっか(スコア-1大歓迎) (スコア:1)
モデレーションが破綻している重大な事例だと思いますよ。
# なんで、カルマためようとしての発言なんだが、 -1 ついたりして
Re:自己顕示欲ばっか(スコア-1大歓迎) (スコア:0)
それどころか (スコア:1)
同一人物だったりして
# 寒すぎる
Re:よさげな企画なのに (スコア:0)
購読層と重なってるの?
Security Memo の人がこういう問題がありますよと
メーリングリスト内で話題にしたり,OCN に対して報告する
ことで
> 些細なことにこだわって一般の人がセキュリティ情報に
> 触れる機会を減らしている
という事実があるの?
Security Memo はセキュリティに関心のある人達が読む
メーリングリストだから,些細なことでもセキュリティに
関係があれば話題になるでしょうし,それによって OCN の
というかねぇ (スコア:2)
でもOCNの経営母体のNTTコミュニケーションズがそれを認めるかどうかは別の問題だよね。
彼らのセキュリティポリシーには「サイト内のできごとを他人に指摘されてそれを直した場合でも、外部にそういう修正があったことを発表しない」という一文があるかもしれないから。
「そんなことは責任ある企業として許されない」
というのであれば、そのセキュリティポリシーをこそ問題にすべきなんだけど、「セキュリティポリシーは社外秘」ということになれば、今度はセキュリティポリシー自身を問題にしたくても、議論の元になる情報がないから、どうしようもない。
結果として、どうどうめぐりになる。
あとは、社会的なものに訴えて「あそこのセキュリティポリシーはなってないから、利用者は使うな!」という「宣伝」をする?してもあまり効果ないことがとても多いと思うけど。まぁ、あんまりハデにやると名誉毀損で訴えられるのがオチだと思うな。普通は無視されて終わりです。
で、こういうことって、そんなにエネルギーかけてやることかな?と思っちゃうんですけど。もちろん、サイト作っている人はプログラマとかSEとして(つまり職業として)エネルギーをかける必要のあることではあっても、外部からのこういう言い方は、よほど慎重にする必要があると思う。
Re:というかねぇ (スコア:2)
一企業のポリシーは関係ない。 社会的な善悪も問題にしていない。 そこにセキュリティーホールがあるという事実を話題にしているだけです。
一連の AC さんも、 Futaro さんも、 どうしてもそこを一緒くたにしか考えられないみたいだね。
追加ですが (スコア:1)
それにしても、OCNの場合に限って言えば、セキュリティ対策も稚拙なら、指摘受けたあとの対応もちょっと不十分でしたね。
もう少し賢いやりかたがあったと思いますが。
Re:よさげな企画なのに (スコア:0)
>> キャンキャン吠えられたら
とはすてきですな:-p
OCNの担当の人はかなり勉強になったはずなのにね。しかも
授業料も払う必要ないんだから、これほどうれしいことはない。
第三者の私でも、まさに「参考になる」内容盛りだくさんなので、
きちっと全部読んでから出直してきてね。
Re:よさげな企画なのに (スコア:0)
>きちっと全部読んでから出直してきてね。
同じ情報を見ても、それに価値を見出せるかどうかは個人の資質(つーか、脳みそ?)の問題だと思うのです。
ですから、
>>> キャンキャン吠えられたら
なんて発言してる方が読んだ所で、理解できるとは思えないのです。