アカウント名:
パスワード:
>このため、生のパスワードや、スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコードも流出したと考えられる。
スラドで何度指摘しても世間にはなんの影響も無いよね
せめて日本だけでも総務省だかどこかの省庁だかが罰則含めた制度でも作ってやるとか
運営側の説明によると、DBの情報が流出したわけではないようです。罰則云々は今回と関係のない話なのか、脆弱性をもったシステムを運用したことにかかるのでしょうか。
生のパスワードが流出するって、仕様の時点で問題有りの欠陥システムじゃないですか発注元にも責任ありでしょう
(今回の件がどうか知りませんが)例えば、別のサイトに情報を送信するように入力フォームのHTML生成部が改ざんされたとします。どうやって仕様で防ぎますか。
>どうやって仕様で防ぎますか。
ソリューションは色々ありそう例).正規Webサイト改ざんhttp://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/m... [trendmicro.co.jp]
そのページも当回しに言っているがウェブサイトを改ざんされた段階で手遅れです。サーバと外部サーバの通信を監視するとかサーバと無関係なサーバとの通信経路を無効化しておくというのは有効だがそのへんはユーザのブラウザが直接攻撃者にデータを送信すれば済む話ですから。できるのは改ざん対策と改ざん後の素早い対応だけ。されたという前提で話すなら事後対応を素早く行う以外にないな。改ざんを検知したら自動的に停止するようにするとか?
暗号化されたパスワードを入力させる(キリッ
ひょっとして冗談で言ってます?すでに暗号化されたパスワードを送信して認証する仕組みはあるのだけど。
#自分は「チャレンジ&レスポンス」と言いたいだけ。
「HTML生成部が改ざんされた」ケースで漏えいを防ぐための仕様なんですから、生パスワードをテキストフィールドに入力した時点でアウトでは?#3072853氏のおっしゃっているジョークは、ユーザがテキストフィールドに入力する文字列が既に暗号文化済み、というものかと。(手動チャレンジ&レスポンス?)
ニイタカヤマノボレ、とか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
スラドでも (スコア:1)
>このため、生のパスワードや、スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコードも流出したと考えられる。
スラドで何度指摘しても世間にはなんの影響も無いよね
せめて日本だけでも総務省だかどこかの省庁だかが罰則含めた制度でも作ってやるとか
Re: (スコア:1)
運営側の説明によると、DBの情報が流出したわけではないようです。
罰則云々は今回と関係のない話なのか、脆弱性をもったシステムを運用したことにかかるのでしょうか。
Re:スラドでも (スコア:0)
生のパスワードが流出するって、仕様の時点で問題有りの欠陥システムじゃないですか
発注元にも責任ありでしょう
Re: (スコア:0)
(今回の件がどうか知りませんが)例えば、別のサイトに情報を送信するように入力フォームのHTML生成部が改ざんされたとします。どうやって仕様で防ぎますか。
Re:スラドでも (スコア:1)
>どうやって仕様で防ぎますか。
ソリューションは色々ありそう
例).正規Webサイト改ざん
http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/m... [trendmicro.co.jp]
Re: (スコア:0)
そのページも当回しに言っているがウェブサイトを改ざんされた段階で手遅れです。
サーバと外部サーバの通信を監視するとかサーバと無関係なサーバとの通信経路を無効化しておくというのは有効だがそのへんはユーザのブラウザが直接攻撃者にデータを送信すれば済む話ですから。
できるのは改ざん対策と改ざん後の素早い対応だけ。されたという前提で話すなら事後対応を素早く行う以外にないな。
改ざんを検知したら自動的に停止するようにするとか?
Re:スラドでも (スコア:1)
>どうやって仕様で防ぎますか。
暗号化されたパスワードを入力させる(キリッ
Re:スラドでも (スコア:1)
暗号化されたパスワードを入力させる(キリッ
ひょっとして冗談で言ってます?
すでに暗号化されたパスワードを送信して認証する仕組みはあるのだけど。
#自分は「チャレンジ&レスポンス」と言いたいだけ。
Re: (スコア:0)
「HTML生成部が改ざんされた」ケースで漏えいを防ぐための仕様なんですから、生パスワードをテキストフィールドに入力した時点でアウトでは?
#3072853氏のおっしゃっているジョークは、ユーザがテキストフィールドに入力する文字列が既に暗号文化済み、というものかと。
(手動チャレンジ&レスポンス?)
Re: (スコア:0)
ニイタカヤマノボレ、とか