アカウント名:
パスワード:
このパスワードはTwitterと通信される際のみ利用され
だから平分で通信するなって(後述)
パスワードが漏洩している、という情報がインターネット上に流れておりますが、そのような事実はございません。
漏洩させたわけではないというのは理解するが、平分で通信していたのだから、応募した人の IDとパスワードが盗聴可能な状態で懸賞サイトが構築されていたわけでしょ? この件ではまとめサイト [uinyan.com]もあるが、オンラインメディアのInternet Watch の続報 [impress.co.jp]を元に考察してみる。
IDやパスワードの通信が暗号化されていないというユーザーからの指摘を受け、
それなら「平分で通信してました」と認めたわけか
SSLで通信を行うように変更
ダメでしたって事ね
その旨をパスワード入力画面に表記
それはいいんだが
>特に、Internet Watch の画像で https ではなく、 http となっている事に注目!>URL は http なのに「SSLにより暗号化」してますって安心させようとするのがまずいね。>Flash で SSL で通信、じゃなくて、実際は SSL で通信などしていないのに、Flash で「SSL により暗号化」って表示させてるだけだな。
httpで閲覧中のページからクライアントからサーバに送信するデータのみhttpsで取り扱う、というのはごく普通にやることですが、ご存じない?
>>httpで閲覧中のページからクライアントからサーバに送信するデータのみhttpsで取り扱う、そんなことすんなっって話だよ。その程度のことも理解できないのか。
>httpで閲覧中のページからクライアントからサーバに送信するデータのみhttpsで取り扱う、>というのはごく普通にやることですが、ご存じない?
なぜSSL利用をケチるのか [nikkeibp.co.jp]
そんな間抜けなことが、ごく普通に行われているとは知りませんでした。
#釣りだと信じたい。
でもその「残念」がどういうロジックで「残念」なのかを理解している人間がここには少ない(減った)気がする。便乗犯じゃないが、とりあえず 分 か っ た フ リ で騒いでる人間のなんと多いことか。twitterで大騒ぎしてたのもその類の人間ばかりだったしなぁ。
本気で心配してるなら解決方法を見える形で残せよ、とか思う。ブログとかさ。その情報が載ってるページを張るだけで印象は変わるのに。
本気で心配してるなら解決方法を見える形で残せよ、とか思う。ブログとかさ。
解決方法? 「httpsで実装しろ」の一言以外に何と言えば良いのでしょうか? ブログに書くほどのことですかね?
その情報が載ってるページを張るだけで印象は変わるのに。
「httpではページを改竄される可能性がある」なんて初歩的な情報にリンクが必要なんでしょうか?
これが「ごく普通」なところには恐ろしくて発注したくないな(笑)
言っちゃ悪いけどこういう馬鹿やってるところって、それを指摘する人間がいないくらい馬鹿揃いだからだんだん感覚が麻痺していくんだよな。そのうち常識で考えてダメなものまで「うちじゃ普通だから」って思うようになる。
その通りです。危険ですよ。入力フォームの時点から、 https://twitter.com/ [twitter.com] となっているべき(そしてユーザは鍵アイコン+ホスト名を確認してからパスワードを入力すべき)です。
ちなみに https://twitter.com/ [twitter.com] からログインできるようですが、 http のコンテンツを含むため鍵アイコンが不完全な状態になりますね…
寧ろ新しければ無条件に良いと考えることが国民性なんですがね。
#そういう意味では非国民ばかりかw
他の方も指摘してますが危険でしょう。公式だから安全?何それ?
叩かれるのに新しいも古いもありません。馬鹿であるか否かです。大体ものごとを新しいとか古いとかいう物差しで計るほうが理解できない。
ここまで入り口ページがhttpであるのが危険な理由を記述して「〜だから危険だ」というコメント無し。「危険だ危険だ!」しか連呼しないって/.er的にどうなのよ。入り口がMan in the middle攻撃されてるかもしれないでしょ、とか一言いってあげれば議論らしくなるでしょうに。
> 馬鹿であるか否かです。
それも違うかと…。みんな、それなりに馬鹿だもの。問題は自分が馬鹿だと気づいたときに、どういった対応を取れるかだろう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
ダメじゃね? (スコア:4, すばらしい洞察)
だから平分で通信するなって(後述)
漏洩させたわけではないというのは理解するが、平分で通信していたのだから、応募した人の IDとパスワードが盗聴可能な状態で懸賞サイトが構築されていたわけでしょ?
この件ではまとめサイト [uinyan.com]もあるが、オンラインメディアのInternet Watch の続報 [impress.co.jp]を元に考察してみる。
それなら「平分で通信してました」と認めたわけか
ダメでしたって事ね
それはいいんだが
Re:ダメじゃね? (スコア:0, 荒らし)
>特に、Internet Watch の画像で https ではなく、 http となっている事に注目!
>URL は http なのに「SSLにより暗号化」してますって安心させようとするのがまずいね。
>Flash で SSL で通信、じゃなくて、実際は SSL で通信などしていないのに、Flash で「SSL により暗号化」って表示させてるだけだな。
httpで閲覧中のページからクライアントからサーバに送信するデータのみhttpsで取り扱う、
というのはごく普通にやることですが、ご存じない?
Re:ダメじゃね? (スコア:2, すばらしい洞察)
>>httpで閲覧中のページからクライアントからサーバに送信するデータのみhttpsで取り扱う、
そんなことすんなっって話だよ。
その程度のことも理解できないのか。
Re:ダメじゃね? (スコア:1)
>httpで閲覧中のページからクライアントからサーバに送信するデータのみhttpsで取り扱う、
>というのはごく普通にやることですが、ご存じない?
なぜSSL利用をケチるのか [nikkeibp.co.jp]
Re: (スコア:0)
そんな間抜けなことが、ごく普通に行われているとは知りませんでした。
#釣りだと信じたい。
Re:ダメじゃね? (スコア:2, 興味深い)
ニコニコ動画とかも全ページにログインフォームが表示されていた頃はそういう実装だった。
今はログイン用リンクだけで、そこはhttps。
普通とは呼びたくないから、よく見かける残念実装と呼んでおこう。
Re: (スコア:0)
でもその「残念」がどういうロジックで「残念」なのかを理解している人間がここには少ない(減った)気がする。
便乗犯じゃないが、とりあえず 分 か っ た フ リ で騒いでる人間のなんと多いことか。
twitterで大騒ぎしてたのもその類の人間ばかりだったしなぁ。
本気で心配してるなら解決方法を見える形で残せよ、とか思う。ブログとかさ。
その情報が載ってるページを張るだけで印象は変わるのに。
Re: (スコア:0)
解決方法? 「httpsで実装しろ」の一言以外に何と言えば良いのでしょうか? ブログに書くほどのことですかね?
「httpではページを改竄される可能性がある」なんて初歩的な情報にリンクが必要なんでしょうか?
Re: (スコア:0)
これが「ごく普通」なところには恐ろしくて発注したくないな(笑)
言っちゃ悪いけどこういう馬鹿やってるところって、
それを指摘する人間がいないくらい馬鹿揃いだからだんだん感覚が麻痺していくんだよな。
そのうち常識で考えてダメなものまで「うちじゃ普通だから」って思うようになる。
Re: (スコア:0)
ってことは twitter.com の公式 web インターフェースでログインする場合も
中間盗聴のされているから危険。ってことですかね?
新しいことを叩くのは国民性と言うか美しい伝統というか
Re:ダメじゃね? (スコア:3, 興味深い)
その通りです。危険ですよ。
入力フォームの時点から、 https://twitter.com/ [twitter.com] となっているべき(そしてユーザは鍵アイコン+ホスト名を確認してからパスワードを入力すべき)です。
ちなみに https://twitter.com/ [twitter.com] からログインできるようですが、 http のコンテンツを含むため鍵アイコンが不完全な状態になりますね…
Re: (スコア:0)
じゃ ユニクロ云々じゃなくて (スコア:0)
ってことで終わりじゃないかね?
Re: (スコア:0)
寧ろ新しければ無条件に良いと考えることが国民性なんですがね。
#そういう意味では非国民ばかりかw
他の方も指摘してますが危険でしょう。公式だから安全?何それ?
叩かれるのに新しいも古いもありません。
馬鹿であるか否かです。
大体ものごとを新しいとか古いとかいう物差しで計るほうが理解できない。
Re:ダメじゃね? (スコア:2)
ここまで入り口ページがhttpであるのが危険な理由を記述して「〜だから危険だ」というコメント無し。
「危険だ危険だ!」しか連呼しないって/.er的にどうなのよ。
入り口がMan in the middle攻撃されてるかもしれないでしょ、とか一言いってあげれば議論らしくなるでしょうに。
Re:ダメじゃね? (スコア:1)
Re: (スコア:0)
いやべつに、そんなことしなくても、パケット改竄するだけですよ。
Re: (スコア:0)
ものごとを馬鹿か否かいう物差しで計るほうが理解できない。 (スコア:0)
> 馬鹿であるか否かです。
それも違うかと…。みんな、それなりに馬鹿だもの。
問題は自分が馬鹿だと気づいたときに、どういった対応を取れるかだろう。
普通にやっちゃいけないんだよ!馬鹿が!Re:ダメじゃね? (スコア:0)
> というのはごく普通にやることですが、ご存じない?
>
ブラウザのアドレス欄でhttpsになってなかったら、利用者が自分で判断できないでしょ?
アドレス欄がhttpなのに「SSL使ってます。ご安心を!」って、それはオレオレSSLだよ!
http://twitter.com/HiromitsuTakagi/status/1476 [twitter.com]
Re: (スコア:0)
予算的な問題等で妥協せざるを得ない事が多いのは事実ですが
「パスワードやクレジット番号だけ暗号していれば大丈夫でしょ?
どこでもやっている実装だし何か問題なの?」
というのは同意しかねます
SSLが部分的にでも必要なサイトは個人情報や決済と繋がっている事が多いので
・一部を秘匿しても別の重要情報が平文で流れるかもしれない、、といか当該情報が重要かどうかの判断をサイト設計/構築者に預ける事になる
・認証済み情報(セッションとかクッキー)の取り扱い次第では「なりすまし」が発生する可能性がある
・サイトの一意性を担保しにくい(別の問題も含みますがXSSに弱いとか)し、送られるSSLさえ安全なのか確認する事が難しい
・そもそも、そのような発想で構築する人達のセキュリティ意識は信用できない
などイロイロ問題があるかと思います
全部SSLにしたからって安全を保証できるわけではないですが
可能であればしておきたいですねぇ・・