アカウント名:
パスワード:
サーバーの設定ミスによりデータベースが公開状態になっており
これも本来はダブルチェックとかで防がれるべきモノではあるが、まあ設定ミスは起こりうるので、ある意味仕方ない。(「仕方ない」と「責任を取る必要がない」はイコールではないのが前提で)
問題はそこじゃなくて、ユーザーの姓名、エンコードされた(ただし簡単に復元可能な)誕生日、性別、国名、メールアドレス、ソルトの使われていないSHA-1パスワードハッシュ、パスワードのヒントと答えが含まれる
ここだよね。これはもう、本来「設計をミスっちゃいました」で済まされる問題ではない。
なので、オフィシャルブログの
Measures to prevent recurrence
We installed additional security mechanisms on our servers. We will carry out periodic review of these security measures
は、そういう問題じゃねーだろって話。最も必要なのはセキュリティ機能の追加じゃなく、暗号化できるようDB運用を見直すことだよって。(セキュリティ機能の追加ももちろん有用ではあるが、結局それに穴があれば同じトラブルが再発するだけじゃん)
長文を書いているわりに言いたいことが一言で済みそうな文章。
それに> 最も必要なのはセキュリティ機能の追加じゃなく、暗号化できるようDB運用を見直すことだよって。セキュリティ機能の追加が暗号化DB運用かもしれないじゃん?
salt無しでのハッシュ化は何時になったら無くなるのやら...このまま無くならないのなら、いっそ法規制かけてほしい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
問題はそこじゃない (スコア:1)
これも本来はダブルチェックとかで防がれるべきモノではあるが、まあ設定ミスは起こりうるので、ある意味仕方ない。
(「仕方ない」と「責任を取る必要がない」はイコールではないのが前提で)
問題はそこじゃなくて、
ユーザーの姓名、エンコードされた(ただし簡単に復元可能な)誕生日、性別、国名、メールアドレス、ソルトの使われていないSHA-1パスワードハッシュ、パスワードのヒントと答えが含まれる
ここだよね。これはもう、本来「設計をミスっちゃいました」で済まされる問題ではない。
なので、オフィシャルブログの
Measures to prevent recurrence
We installed additional security mechanisms on our servers. We will carry out periodic review of these security measures
は、そういう問題じゃねーだろって話。
最も必要なのはセキュリティ機能の追加じゃなく、暗号化できるようDB運用を見直すことだよって。
(セキュリティ機能の追加ももちろん有用ではあるが、結局それに穴があれば同じトラブルが再発するだけじゃん)
Re: (スコア:0)
長文を書いているわりに言いたいことが一言で済みそうな文章。
それに
> 最も必要なのはセキュリティ機能の追加じゃなく、暗号化できるようDB運用を見直すことだよって。
セキュリティ機能の追加が暗号化DB運用かもしれないじゃん?
Re: (スコア:0)
salt無しでのハッシュ化は何時になったら無くなるのやら...
このまま無くならないのなら、いっそ法規制かけてほしい