パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す」記事へのコメント

  • 漏洩センサーとしてこのまま使っていようと思う。

    • by Anonymous Coward on 2018年05月05日 2時29分 (#3402852)

      使い回ししていたら、twitterのパスワードだけ変更しても効果のある対策にはならないですね。

      今回のアナウンスは、twitter社内の内部犯の存在を疑ってくださいというメッセージなんでしょうが、
      ぶっちゃけそのタイプの攻撃に対してはそもそも一般利用者は抵抗のしようがないしパスワード変える意味あんの?とはちょっと思う。
      件のバグを情報を抜くために故意に仕込む人物の存在をユーザーが疑っても始まらない。

      まあリアルに考えると、本番環境でもログは相対的に緩い権限でアクセスできるシステムになっていて
      悪用があった時の容疑者の特定が困難(だから普段の条件では信用できる社員でも魔が差すことがあるかも)で、
      若干リスクが上乗せされてるからってことなんでしょうが。

      親コメント
      • by Anonymous Coward on 2018年05月05日 9時47分 (#3402875)

        欧米の会社は社員を信用していない
        この手のセキュリティリスクに対応するために
        暗号化アルゴを開発する人と、データを運用する人は分けてる
        暗号化アルゴを開発する人達は、Twitterの内部ログの生データにはアクセスできないようにされてるし
        データを運用する人達は、暗号化されたあとのデータしか触れない
        だから、生データがそのまま保存されてる自体ってのは本来想定してないんだよ
        日本企業はその辺なあなあで済ますところが多いから信用されないけど

        親コメント
        • by Anonymous Coward

          そういう意味では、「bcrypt関数でハッシュ化している」ということなので

          暗号化アルゴリズムは、そもそも自社開発していない。

          • by Anonymous Coward

            自社開発した暗号化アルゴリズムとか怖すぎて使えるわけがない。それこそ従業員がこっそりバックドアを仕込んでいてもまったく不思議はないな

        • by Anonymous Coward

          いや欧米は関係ないでしょ。

          それなりの企業ならヒラの開発者は実環境のログにはアクセスできない体制にしてる。
          でも開発者と監視者が手を組んだら不可能も可能にできる。
          所詮人を完全に信用しない運用なんて成立しないよ。

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...