アカウント名:
パスワード:
どうも報道を見ていると、「利用者のパスワード管理が甘かった」という話じゃなさそうですよね。設置会社が初期設置時に利用者に特に詳しい説明もなく設定した初期パスワードがそのまま犯罪者に使われている感じ。これで補償なしすべて払えでは、ただがけ犯罪者とつるんでいるとさえ思える。
他の事例はわかりませんが、私個人が担当した事例で言うと、デフォルトのパスワードどころか、各ユーザごとに /dev/random の乱数から生成したパスワードを設定しているにも関わらず、パスワードが漏えいして不正利用されたことがありました。
サーバ側では認証エラーに対して応答遅延を設定していましたし、一定回数を超過するとSIPのリクエストそのものを無視する設定もしていたのですが、それでも簡単に漏えいしたということは、端末側から漏えいしたとしか考えられず、そこまで証明できた時点で私の責任範囲は終わりとなりました。
今のところ漏えいしている事実が判明しているのは、訳あってiOSのバージョンアップを怠っていた人たちが全てなので、iOSの何らかの穴が突かれたのではないかと考えています。Androidは今のところ本件に関しては被害は発生していません。
まさかとは思ってたが、 見つかった [apple.srad.jp] か。。。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
利用者のパスワード管理の問題ではない? (スコア:0)
どうも報道を見ていると、「利用者のパスワード管理が甘かった」という話じゃなさそうですよね。
設置会社が初期設置時に利用者に特に詳しい説明もなく設定した初期パスワードが
そのまま犯罪者に使われている感じ。
これで補償なしすべて払えでは、ただがけ犯罪者とつるんでいるとさえ思える。
Re:利用者のパスワード管理の問題ではない? (スコア:4, 興味深い)
他の事例はわかりませんが、私個人が担当した事例で言うと、
デフォルトのパスワードどころか、各ユーザごとに /dev/random の乱数から生成した
パスワードを設定しているにも関わらず、パスワードが漏えいして不正利用されたことがありました。
サーバ側では認証エラーに対して応答遅延を設定していましたし、
一定回数を超過するとSIPのリクエストそのものを無視する設定もしていたのですが、
それでも簡単に漏えいしたということは、端末側から漏えいしたとしか考えられず、
そこまで証明できた時点で私の責任範囲は終わりとなりました。
今のところ漏えいしている事実が判明しているのは、訳あってiOSのバージョンアップを
怠っていた人たちが全てなので、iOSの何らかの穴が突かれたのではないかと考えています。
Androidは今のところ本件に関しては被害は発生していません。
Re: (スコア:0)
まさかとは思ってたが、 見つかった [apple.srad.jp] か。。。