アカウント名:
パスワード:
漏洩センサーとしてこのまま使っていようと思う。
使い回ししていたら、twitterのパスワードだけ変更しても効果のある対策にはならないですね。
今回のアナウンスは、twitter社内の内部犯の存在を疑ってくださいというメッセージなんでしょうが、ぶっちゃけそのタイプの攻撃に対してはそもそも一般利用者は抵抗のしようがないしパスワード変える意味あんの?とはちょっと思う。件のバグを情報を抜くために故意に仕込む人物の存在をユーザーが疑っても始まらない。
まあリアルに考えると、本番環境でもログは相対的に緩い権限でアクセスできるシステムになっていて悪用があった時の容疑者の特定が困難(だから普段の条件では信用できる社員でも魔が差すことがあるかも)で、若干リスクが上乗せされてるからってことなんでしょうが。
欧米の会社は社員を信用していないこの手のセキュリティリスクに対応するために暗号化アルゴを開発する人と、データを運用する人は分けてる暗号化アルゴを開発する人達は、Twitterの内部ログの生データにはアクセスできないようにされてるしデータを運用する人達は、暗号化されたあとのデータしか触れないだから、生データがそのまま保存されてる自体ってのは本来想定してないんだよ日本企業はその辺なあなあで済ますところが多いから信用されないけど
そういう意味では、「bcrypt関数でハッシュ化している」ということなので
暗号化アルゴリズムは、そもそも自社開発していない。
自社開発した暗号化アルゴリズムとか怖すぎて使えるわけがない。それこそ従業員がこっそりバックドアを仕込んでいてもまったく不思議はないな
いや欧米は関係ないでしょ。
それなりの企業ならヒラの開発者は実環境のログにはアクセスできない体制にしてる。でも開発者と監視者が手を組んだら不可能も可能にできる。所詮人を完全に信用しない運用なんて成立しないよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
使い回ししていないから (スコア:1)
漏洩センサーとしてこのまま使っていようと思う。
Re: (スコア:0)
使い回ししていたら、twitterのパスワードだけ変更しても効果のある対策にはならないですね。
今回のアナウンスは、twitter社内の内部犯の存在を疑ってくださいというメッセージなんでしょうが、
ぶっちゃけそのタイプの攻撃に対してはそもそも一般利用者は抵抗のしようがないしパスワード変える意味あんの?とはちょっと思う。
件のバグを情報を抜くために故意に仕込む人物の存在をユーザーが疑っても始まらない。
まあリアルに考えると、本番環境でもログは相対的に緩い権限でアクセスできるシステムになっていて
悪用があった時の容疑者の特定が困難(だから普段の条件では信用できる社員でも魔が差すことがあるかも)で、
若干リスクが上乗せされてるからってことなんでしょうが。
Re:使い回ししていないから (スコア:1)
欧米の会社は社員を信用していない
この手のセキュリティリスクに対応するために
暗号化アルゴを開発する人と、データを運用する人は分けてる
暗号化アルゴを開発する人達は、Twitterの内部ログの生データにはアクセスできないようにされてるし
データを運用する人達は、暗号化されたあとのデータしか触れない
だから、生データがそのまま保存されてる自体ってのは本来想定してないんだよ
日本企業はその辺なあなあで済ますところが多いから信用されないけど
Re: (スコア:0)
そういう意味では、「bcrypt関数でハッシュ化している」ということなので
暗号化アルゴリズムは、そもそも自社開発していない。
Re: (スコア:0)
自社開発した暗号化アルゴリズムとか怖すぎて使えるわけがない。それこそ従業員がこっそりバックドアを仕込んでいてもまったく不思議はないな
Re: (スコア:0)
いや欧米は関係ないでしょ。
それなりの企業ならヒラの開発者は実環境のログにはアクセスできない体制にしてる。
でも開発者と監視者が手を組んだら不可能も可能にできる。
所詮人を完全に信用しない運用なんて成立しないよ。