アカウント名:
パスワード:
高木先生ってって美人局の脆弱性とかにひっかかりそう。ひっかかって欲しい。
脆弱性の指摘は正論だから批判すると「意識がなってない」とか鬼の首を取ったように言われるけど、そんな人には「100台あるサーバのパスワード、全部違うものにしておいたぜ!32文字以上でな!」と言ってあげたい。
>高木先生ってって美人局の脆弱性とかにひっかかりそう。>ひっかかって欲しい。
もう引っかかってるそうですよ!
HiromitsuTakagi 最近立て続けにふたりの女子にやろうよとねだられたので始めることにした。 2008/12/23 [hatena.ne.jp]
ちんこもげろ
今回の「危ないか?」という問いは、脆弱性を知った上で無視するかしないかを判断しましょう、という経営上危ないか否かの問題であって、イチイチ指摘するほど危ないことなのか?という問題ではないです。
鬼の首とか関係ありません。
> そんな人には「100台あるサーバのパスワード、全部違うものにしておいたぜ!32文字以上でな!」> と言ってあげたい。
140台ありますが全部別です。そしてパスワードの有効期限は 180 日以内。というか全部違うものにするだろ常識的に考えて…
# 全部覚えろとかいう話だったら速攻で辞職願を書くが、大抵は何らかの形で台帳管理するしなあ。
その台帳管理に脆弱性が潜んでいるんですね。パスワードは紙に書いちゃ駄目でしょ。パスワードを紙ベースで管理してる管理者は辞職した方がいいですね。
って正論はいつまでもまかり通る。
パスワード140個用意しても、その管理台帳ひとつ盗まれたら意味なくないですか
台帳の実体が「パスワードが書かれた紙が挟まってるバインダーファイル1冊」とかだったら、そりゃまあ意味ないです。もうちょっと違う方法ですよっと。
# これ以上はIDでは書けんw
32文字以上はアレだけど、普通サーバのパスワードは全部違うよね? パスワードジェネレータで作った奴で。
でもXSSは株価に影響しないからいいのだって判断は、セキュリティの専門家かつ 高度な経営判断を下せる立場の人間のみが下せるわけから、オレは一生関係しそうにないな。
>32文字以上はアレだけど、普通サーバのパスワードは全部違うよね?>パスワードジェネレータで作った奴で。
それをプリントアウトしてディスプレイ横に貼っておくわけですね?わかります。
「100台あるサーバのパスワード、全部違うものにしておいたぜ!32文字以上でな!」
HTTP Mutual Access Authentication がそれを解決します [aist.go.jp] という話ですか?
高木先生は一騎当千ということか...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
個人的なイメージというか願望 (スコア:3, おもしろおかしい)
高木先生ってって美人局の脆弱性とかにひっかかりそう。
ひっかかって欲しい。
脆弱性の指摘は正論だから批判すると「意識がなってない」とか鬼の首を取ったように言われるけど、
そんな人には「100台あるサーバのパスワード、全部違うものにしておいたぜ!32文字以上でな!」
と言ってあげたい。
Re:個人的なイメージというか願望 (スコア:2, おもしろおかしい)
>高木先生ってって美人局の脆弱性とかにひっかかりそう。
>ひっかかって欲しい。
もう引っかかってるそうですよ!
HiromitsuTakagi 最近立て続けにふたりの女子にやろうよとねだられたので始めることにした。 2008/12/23 [hatena.ne.jp]
ちんこもげろ
Re:個人的なイメージというか願望 (スコア:1, すばらしい洞察)
まぁ彼は出る杭をたたくのが仕事ですから。
あ、Script Kidy の代表である旧名 Office も、他人のミスをあげつらうだけ。という点では同等同質。
Re:個人的なイメージというか願望 (スコア:1, すばらしい洞察)
今回の「危ないか?」という問いは、脆弱性を知った上で無視するかしないかを判断しましょう、という経営上危ないか否かの問題であって、
イチイチ指摘するほど危ないことなのか?という問題ではないです。
鬼の首とか関係ありません。
Re:個人的なイメージというか願望 (スコア:1)
リスクマネジメントってそういう事なんだよな。
責任(賠償に応じたり重役クラスの馘首とかな)を
取れるところが、「費用対効果と打撃時の責任
甘受を首脳部に持たせる」ということなんだよね。
1円の損害があるので、10億かけます...馬鹿か?
10億円の損害がありえるので10億円かけましょう..
これも馬鹿なんだよね。
Re: (スコア:0)
幸いXSSってのは、非常駐型なら、被害まで出ても原因は不明なまま終わるタイプだからね。
Re:個人的なイメージというか願望 (スコア:1)
どうして被害を想定してそれに見合う事をするってのが
「結局バレなきゃいいって」ことになるのかなぁ?
もしかして、被害に見合った対策とりたくないので、
「結局バレなきゃいいって」ことでやっているわけですか?
Re:個人的なイメージというか願望 (スコア:1)
> そんな人には「100台あるサーバのパスワード、全部違うものにしておいたぜ!32文字以上でな!」
> と言ってあげたい。
140台ありますが全部別です。そしてパスワードの有効期限は 180 日以内。
というか全部違うものにするだろ常識的に考えて…
# 全部覚えろとかいう話だったら速攻で辞職願を書くが、大抵は何らかの形で台帳管理するしなあ。
Re: (スコア:0)
その台帳管理に脆弱性が潜んでいるんですね。
パスワードは紙に書いちゃ駄目でしょ。
パスワードを紙ベースで管理してる管理者は辞職した方がいいですね。
って正論はいつまでもまかり通る。
Re: (スコア:0)
#映画ではよくあるパターン
Re: (スコア:0)
パスワード140個用意しても、その管理台帳ひとつ盗まれたら意味なくないですか
Re:個人的なイメージというか願望 (スコア:2, 興味深い)
台帳の実体が「パスワードが書かれた紙が挟まってるバインダーファイル1冊」とかだったら、そりゃまあ意味ないです。
もうちょっと違う方法ですよっと。
# これ以上はIDでは書けんw
Re: (スコア:0)
32文字以上はアレだけど、普通サーバのパスワードは全部違うよね?
パスワードジェネレータで作った奴で。
でもXSSは株価に影響しないからいいのだって判断は、セキュリティの専門家かつ
高度な経営判断を下せる立場の人間のみが下せるわけから、オレは一生関係しそうにないな。
Re: (スコア:0)
>32文字以上はアレだけど、普通サーバのパスワードは全部違うよね?
>パスワードジェネレータで作った奴で。
それをプリントアウトしてディスプレイ横に貼っておくわけですね?わかります。
Re: (スコア:0)
HTTP Mutual Access Authentication がそれを解決します [aist.go.jp] という話ですか?
Re: (スコア:0)
> と言ってあげたい。
他のヒトも書いてるけど、サーバのパスワードは普通バラバラだよね?
あと、気前良く他人の仕事をやってあげる様なヒトの意見は、
その恩恵を受けたヒトにはある程度尊重されると思う。
だから、やってあげてから言ってあげて下さい。
どうか遠慮せずに、
Re:個人的なイメージというか願望 (スコア:1, おもしろおかしい)
高木先生は一騎当千ということか...