アカウント名:
パスワード:
どういう根拠で出した数字だろ。まさか分母より少し大きめなら当たるだろ、程度の根拠かな。n回の試行で当たる確率は全部外れる確率を1から引いたもの。1-(1-当たる確率)^n。300回じゃ7割弱なのだが。
0x00~0xFF(正確には0x0…0~0xF…Fの256通り)のどれかでバグが再現するため、1/256と言うことでしょう。
#この手のバグの場合、純粋な確率論で話を進めてもあまり意味がないと思うよ
多分元コメが言ってるのは、「1/256で突破できるものに対し、『300回程度のアクセスを試みるだけで』って言い方はどこから出てきたんだ?」という点でしょ?
元コメが書いてるように、1/256で当たりが出るものに300回挑戦しても70%程度の確率でしか当たりは引けない。なんで300で線引きするの?という疑問だと思う。#でもまあ元コメの言いたいことも、タレコミでだいたい300と書いたのも、どちらも理解は出来るが。
おまけ。当たりを引く確率が90%ぐらいになるのは589回、99%ぐらいになるのは1177回ぐらい。
うん。確率が1/256なのはわかるよ?わからないのは300回の試行で通るところなんだけど。
元が~300 attempts takes only a fraction of second, so ...なんで、まぁあまり深く考えるのは無駄かと
原文は、
> ~300 attempts takes only a fraction of second, so basically account password protection is as good as nonexistent.> 300回の試行にはわずか数分の1秒しかかからないため、アカウントのパスワードによる保護はあってないようなものである。
ですよね。300回の試行がごく短時間でできると言っているだけで、やはり「300回程度のアクセスを試みるだけでrootを含む任意のユーザーでのログインが可能であり」というのは間違いです。
300回の試行なんて一瞬だから当たる確率が99%になる1200回の試行も数秒で終わるため、簡単に突破されてしまう、というのならわかります。
これって完全ランダムなくじびき状態なの? それならその通りだと思うけど
この場合は確率といってもランダムで当たるわけじゃないから、256回やれば100%じゃないの。
9998まではいったのだが…
あーる乙。
それは「256回目までの試行で当たる確率が100%」であって確率が1/256とはまた違うよ。
値がランダムかどうか分からないですね。値のばらつきぐあいが、環境に依存するかも知れないし。与えたパスワードに依存するのなら、うまく考えた256個のパスワードがあれば、どれかは当たるということになりますね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
300回? (スコア:0)
どういう根拠で出した数字だろ。
まさか分母より少し大きめなら当たるだろ、程度の根拠かな。
n回の試行で当たる確率は全部外れる確率を1から引いたもの。1-(1-当たる確率)^n。
300回じゃ7割弱なのだが。
Re:300回? (スコア:1)
0x00~0xFF(正確には0x0…0~0xF…Fの256通り)のどれかでバグが再現するため、1/256と言うことでしょう。
#この手のバグの場合、純粋な確率論で話を進めてもあまり意味がないと思うよ
Re:300回? (スコア:4, 参考になる)
多分元コメが言ってるのは、
「1/256で突破できるものに対し、『300回程度のアクセスを試みるだけで』って言い方はどこから出てきたんだ?」
という点でしょ?
元コメが書いてるように、1/256で当たりが出るものに300回挑戦しても70%程度の確率でしか当たりは引けない。なんで300で線引きするの?という疑問だと思う。
#でもまあ元コメの言いたいことも、タレコミでだいたい300と書いたのも、どちらも理解は出来るが。
おまけ。
当たりを引く確率が90%ぐらいになるのは589回、99%ぐらいになるのは1177回ぐらい。
Re: (スコア:0)
うん。確率が1/256なのはわかるよ?
わからないのは300回の試行で通るところなんだけど。
Re: (スコア:0)
元が
~300 attempts takes only a fraction of second, so ...
なんで、まぁあまり深く考えるのは無駄かと
Re:300回? (スコア:2)
原文は、
> ~300 attempts takes only a fraction of second, so basically account password protection is as good as nonexistent.
> 300回の試行にはわずか数分の1秒しかかからないため、アカウントのパスワードによる保護はあってないようなものである。
ですよね。300回の試行がごく短時間でできると言っているだけで、やはり
「300回程度のアクセスを試みるだけでrootを含む任意のユーザーでのログインが可能であり」というのは間違いです。
300回の試行なんて一瞬だから当たる確率が99%になる1200回の試行も
数秒で終わるため、簡単に突破されてしまう、というのならわかります。
Re: (スコア:0)
これって完全ランダムなくじびき状態なの? それならその通りだと思うけど
Re: (スコア:0)
この場合は確率といってもランダムで当たるわけじゃないから、
256回やれば100%じゃないの。
Re: (スコア:0)
9998まではいったのだが…
Re: (スコア:0)
あーる乙。
Re: (スコア:0)
それは「256回目までの試行で当たる確率が100%」であって
確率が1/256とはまた違うよ。
Re: (スコア:0)
値がランダムかどうか分からないですね。
値のばらつきぐあいが、環境に依存するかも知れないし。
与えたパスワードに依存するのなら、うまく考えた256個のパスワードがあれば、
どれかは当たるということになりますね。