アカウント名:
パスワード:
>このため、生のパスワードや、スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコードも流出したと考えられる。
スラドで何度指摘しても世間にはなんの影響も無いよね
せめて日本だけでも総務省だかどこかの省庁だかが罰則含めた制度でも作ってやるとか
運営側の説明によると、DBの情報が流出したわけではないようです。罰則云々は今回と関係のない話なのか、脆弱性をもったシステムを運用したことにかかるのでしょうか。
生のパスワードが流出するって、仕様の時点で問題有りの欠陥システムじゃないですか発注元にも責任ありでしょう
(今回の件がどうか知りませんが)例えば、別のサイトに情報を送信するように入力フォームのHTML生成部が改ざんされたとします。どうやって仕様で防ぎますか。
>どうやって仕様で防ぎますか。
ソリューションは色々ありそう例).正規Webサイト改ざんhttp://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/m... [trendmicro.co.jp]
そのページも当回しに言っているがウェブサイトを改ざんされた段階で手遅れです。サーバと外部サーバの通信を監視するとかサーバと無関係なサーバとの通信経路を無効化しておくというのは有効だがそのへんはユーザのブラウザが直接攻撃者にデータを送信すれば済む話ですから。できるのは改ざん対策と改ざん後の素早い対応だけ。されたという前提で話すなら事後対応を素早く行う以外にないな。改ざんを検知したら自動的に停止するようにするとか?
暗号化されたパスワードを入力させる(キリッ
ひょっとして冗談で言ってます?すでに暗号化されたパスワードを送信して認証する仕組みはあるのだけど。
#自分は「チャレンジ&レスポンス」と言いたいだけ。
「HTML生成部が改ざんされた」ケースで漏えいを防ぐための仕様なんですから、生パスワードをテキストフィールドに入力した時点でアウトでは?#3072853氏のおっしゃっているジョークは、ユーザがテキストフィールドに入力する文字列が既に暗号文化済み、というものかと。(手動チャレンジ&レスポンス?)
ニイタカヤマノボレ、とか
世間に届いたとして、未だにログインページすら暗号化されておらず平文でパスワード送信するスラドお前が言うな、と帰ってくるのがオチ
https://twitter.com/ockeghem/status/769425440897236992 [twitter.com]
保存してないけど漏洩させるとな?
保存する前に漏洩したんだからうちの責任じゃない!
保管していたデータが盗られたのではなく、入力時に横流しされるような状態だった(webサイト改竄など)ということなら、保存せず漏洩は可能。今回どうだったかはしらん。
スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコード
公的な規格じゃないからなのかな。PCI DSSではあるそうだけど。 http://srad.jp/comment/2998040 [srad.jp]
これを機にというか大いに便乗してPCI DSSの宣伝をしたら良さそうだけどよほどひどい被害が出て世間の耳目を集めるか、美味い汁を吸えるような仕組みがないと誰もやらないんだろうなぁ。
本来はPCI DSSはちゃんと対応してないならアクワイアから加盟店契約を切られてしかるべき。でも、カード会社自体が対応できてないケースすらあるから何をか言わんや。
各ブランドはもっとしっかりアクワイアを締め付けるべき。
訳: スラドの半可通でも指摘できるような
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
スラドでも (スコア:1)
>このため、生のパスワードや、スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコードも流出したと考えられる。
スラドで何度指摘しても世間にはなんの影響も無いよね
せめて日本だけでも総務省だかどこかの省庁だかが罰則含めた制度でも作ってやるとか
Re:スラドでも (スコア:1)
運営側の説明によると、DBの情報が流出したわけではないようです。
罰則云々は今回と関係のない話なのか、脆弱性をもったシステムを運用したことにかかるのでしょうか。
Re: (スコア:0)
生のパスワードが流出するって、仕様の時点で問題有りの欠陥システムじゃないですか
発注元にも責任ありでしょう
Re: (スコア:0)
(今回の件がどうか知りませんが)例えば、別のサイトに情報を送信するように入力フォームのHTML生成部が改ざんされたとします。どうやって仕様で防ぎますか。
Re:スラドでも (スコア:1)
>どうやって仕様で防ぎますか。
ソリューションは色々ありそう
例).正規Webサイト改ざん
http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/m... [trendmicro.co.jp]
Re: (スコア:0)
そのページも当回しに言っているがウェブサイトを改ざんされた段階で手遅れです。
サーバと外部サーバの通信を監視するとかサーバと無関係なサーバとの通信経路を無効化しておくというのは有効だがそのへんはユーザのブラウザが直接攻撃者にデータを送信すれば済む話ですから。
できるのは改ざん対策と改ざん後の素早い対応だけ。されたという前提で話すなら事後対応を素早く行う以外にないな。
改ざんを検知したら自動的に停止するようにするとか?
Re:スラドでも (スコア:1)
>どうやって仕様で防ぎますか。
暗号化されたパスワードを入力させる(キリッ
Re:スラドでも (スコア:1)
暗号化されたパスワードを入力させる(キリッ
ひょっとして冗談で言ってます?
すでに暗号化されたパスワードを送信して認証する仕組みはあるのだけど。
#自分は「チャレンジ&レスポンス」と言いたいだけ。
Re: (スコア:0)
「HTML生成部が改ざんされた」ケースで漏えいを防ぐための仕様なんですから、生パスワードをテキストフィールドに入力した時点でアウトでは?
#3072853氏のおっしゃっているジョークは、ユーザがテキストフィールドに入力する文字列が既に暗号文化済み、というものかと。
(手動チャレンジ&レスポンス?)
Re: (スコア:0)
ニイタカヤマノボレ、とか
Re:スラドでも (スコア:1)
世間に届いたとして、未だにログインページすら暗号化されておらず平文でパスワード送信するスラドお前が言うな、と帰ってくるのがオチ
Re: (スコア:0)
https://twitter.com/ockeghem/status/769425440897236992 [twitter.com]
Re: (スコア:0)
保存してないけど漏洩させるとな?
Re: (スコア:0)
保存する前に漏洩したんだからうちの責任じゃない!
Re: (スコア:0)
保管していたデータが盗られたのではなく、
入力時に横流しされるような状態だった(webサイト改竄など)ということなら、
保存せず漏洩は可能。今回どうだったかはしらん。
Re: (スコア:0)
スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコード
公的な規格じゃないからなのかな。PCI DSSではあるそうだけど。 http://srad.jp/comment/2998040 [srad.jp]
Re:スラドでも (スコア:1)
これを機にというか大いに便乗してPCI DSSの宣伝をしたら良さそうだけど
よほどひどい被害が出て世間の耳目を集めるか、美味い汁を吸えるような仕組みがないと誰もやらないんだろうなぁ。
Re:スラドでも (スコア:1)
本来はPCI DSSはちゃんと対応してないならアクワイアから加盟店契約を切られてしかるべき。
でも、カード会社自体が対応できてないケースすらあるから何をか言わんや。
各ブランドはもっとしっかりアクワイアを締め付けるべき。
Re: (スコア:0)
訳: スラドの半可通でも指摘できるような