アカウント名:
パスワード:
二段階認証でもなきゃ簡単にログインされてしまう。二段階認証でも突破する方法が有るみたいですし。ログイン機能を開発するコストが跳ね上がりますな。
SSLにすら対応していない、ここ/.Jの立場は…。
いらない対応だからね。
SSLがいる理由を無理やり考えろといわれたらいくらでも出せるけど、よくよく検討すれば穴があったりSSLとか関係なかったりする。
うん、君がセキュリティのド素人だというのがよくわかったよ。
では、/.Jがコストをかけてまで新しいログイン機能を開発する理由を挙げてみてくれ。当然、無理やりなものなど穴の有る理由はダメだよ。
別人だけど、
* 成りすましによる議論の混乱を避ける* メールアドレスなど、公開していない個人情報の流出を防ぐ
いくらでもあるだろう。私はIDの時はメールアドレスを公開しているので、どうでもいいが、一般的にみて、これはわりと脆弱なシステムだ。上の主張は、ちょっと何を言っているのか良くわからないな。
コストをかけてまで新しいログイン機能を開発する理由について
> 成りすましによる議論の混乱を避ける> メールアドレスなど、公開していない個人情報の流出を防ぐ
それって理由になっている?私はなっていないと判断します。
あなたの挙げた理由はID/PWの漏洩があった場合の話です、SSLの話はあまり関係ないでしょう。今回のmixiの件もアカウント数に対する攻撃件数から見て他の理由と見るのが正しいと判断します。アカウントの使い回しとかの。つまり、SSLが有ろうが無かろうが発生する事象です。SSLを使えば有意に差が出るというデータでもあれば話は別です。
> いくらでもあるだろう
当然、用途に対して十分脆弱でしょう。スラッシュドットにアクセスしている人は、自分のメールアドレスを振り撒きたいとは思っておらず、だからこそ「隠す」というオプションがあるのです。
しかし、httpsでないばっかりに、無線LANとかで、MiMをやられると、その人のID/パスワードは流出します。まだ流出した例がないのは、利用者が有意にすくないからで、スラッシュドットが目的に対して十分堅牢だからではありません。
> 無線LANとかで、MiM
それはそっちの問題でしょう。無線LANで乗っ取りやられたらHTTPS以前の問題ですよ。被害者の立場では /.JのID/PW漏洩なんて簡単なレベルでなく、/.J 側としてはさほど問題ではないです。
> 用途に対して十分脆弱でしょう。> スラッシュドットが目的に対して十分堅牢だからではありません。
目的って何ですか? あなたの勝手な思い込みでは?メールアドレスをばら撒きたくないなら先ずメールアドレスを登録しなければいいのですよ。/.Jは登録を強制していないでしょう。利用者がコントロールできるのだからそれでよい。
/.Jでは、せいぜい発言者がある程度特
被害者の立場では /.JのID/PW漏洩なんて簡単なレベルでなく、/.J 側としてはさほど問題ではないです。
そんなわけないだろ。だから、素人と話すのは嫌なんだよ。ウンザリする。しかも、煽りじゃなくて自分の意見を信じ切っているぽいところがなおやるせない。あなたは、「自分の信じたくないことは起こりえない」教に入信しているのかもしれないが、それを外部に押し付けるのはやめてくれ。
公衆無線LANをつかっていたら、パケットアナライザで自分が閲覧しているサイトの情報は知られてしまう。でも、HTTPSならパスワードは漏れ
> > 被害者の立場では /.JのID/PW漏洩なんて簡単なレベルでなく、/.J 側としてはさほど問題ではないです。> そんなわけないだろ。
いや、普通に被害の程度を評価してよ。何度も言っているようにコストをちゃんと評価しましょう。被害を含めた結果を含めた評価だよ。/.Jにとっては盗聴される回線を使った人が情報を盗まれただけで大きな被害を受けるわけではない。無線LAN盗聴なら該当者も一人なので深刻でないし、管理外の回線だから罪に問われることは無い。当然HTTPSを使わないことを理由にID登録が減るとかページビューが減って仕方ないとかの事態になれば問題だろうけど、それが真なら既にそうなっているわけで、事実としてなっていないことを見れば分かるように被害が無いのですよ。
振返って無線LANへ攻撃され個人は実質的な被害を受けます。最近誤認逮捕されてひどい目にあった人がいましたね。HTTPSってWEBアクセス以外普通使いませんね。他のプロトコルは全てHTTPS並みになっているのですか?つまり、個人は事実として簡単なレベルでない。
つまり、そんなわけなのです。
>それを外部に押し付けるのはやめてくれ。
えっ押し付けているのですか?へー私って/.Jに書くだけで意見を押し付ける能力があるのか。かっけー
> 公衆無線LAN
正直ってメールアドレスがもれて困るくらいに過剰にセキュリティを求めるような発言をする人が、なぜ盗聴や割り込み可能な無線LANを使用するような話をするのでしょうか。バランス感覚がおかしいですね。もしかしてHTTPSを使えばバッチリID/PW/Mail Addressが守れるとでも思っているのでしょうか?
> HTTPSならパスワードは漏れない。したがって、スラッシュドットに登録してあるメールアドレスが流出することもない。
あっ!! 思っているようです。
ではなぜmixiやその他HTTPSを使っている場所の情報が漏洩したのでしょうね。口で「流出することもない」ということはいくらでもできますが、現実は漏洩しています。
現実を口先で否定とか無茶ですよ、、、
> 一見何が漏れるとまずいのかが分からないケースですら、httpsに切り替えている。
「一見何が漏れるとまずいのかが分からないケース」なのにhttpsへ切り替えるのが正しい対応ですか?その意見をそのまま読めばHTTPを使うサイト全てが危険ですね。いや、ネットワークにつながるありとあらゆるものがまずいですね。だって分からない脅威に対応しなきゃいけないのだから。
まあ、確かに全てHTTPSにしろという極端なことを言う人がいますがそういう人ですか?良くセキュリティ議論に出てくる100%でなければダメ派?
> これは単なる予防線じゃなくて、現実的なリスクなんだよ。ちょっと考えればわかるでしょ。
だから、その予防線の基準や対応レベルが間違っているのだよ。セキュリティというのは財産を守ることだから、財産が減る対応をするのは間違いだよ。守るべきものやレベルを見間違えては正しいセキュリティではないよ。
では聞くよ。 ユーザー側の無線LANが盗聴されてメールアドレスがもれたら/.Jはどんな被害を受けるの?場合によっては数十万円以上掛かる対策費用が妥当な被害をちゃんと見積もれる。
> 素人と話すのは嫌なんだよ> ウンザリする> なおやるせない> 教に入信しているのかもしれない> 素人は> そんな奴は全員馘首すべきだ> ちょっと考えればわかるでしょ
この人も私の意見を擁護してくれるようです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
ログイン機能の開発コスト (スコア:2)
二段階認証でもなきゃ簡単にログインされてしまう。
二段階認証でも突破する方法が有るみたいですし。
ログイン機能を開発するコストが跳ね上がりますな。
Re: (スコア:-1)
SSLにすら対応していない、ここ/.Jの立場は…。
Re: (スコア:3)
いらない対応だからね。
SSLがいる理由を無理やり考えろといわれたらいくらでも出せるけど、よくよく検討すれば穴があったりSSLとか関係なかったりする。
Re: (スコア:-1)
うん、君がセキュリティのド素人だというのがよくわかったよ。
Re: (スコア:2)
では、/.Jがコストをかけてまで新しいログイン機能を開発する理由を挙げてみてくれ。
当然、無理やりなものなど穴の有る理由はダメだよ。
Re: (スコア:0)
別人だけど、
* 成りすましによる議論の混乱を避ける
* メールアドレスなど、公開していない個人情報の流出を防ぐ
いくらでもあるだろう。私はIDの時はメールアドレスを公開しているので、どうでもいいが、一般的にみて、これはわりと脆弱なシステムだ。上の主張は、ちょっと何を言っているのか良くわからないな。
Re: (スコア:4, 参考になる)
コストをかけてまで新しいログイン機能を開発する理由について
> 成りすましによる議論の混乱を避ける
> メールアドレスなど、公開していない個人情報の流出を防ぐ
それって理由になっている?
私はなっていないと判断します。
あなたの挙げた理由はID/PWの漏洩があった場合の話です、SSLの話はあまり関係ないでしょう。
今回のmixiの件もアカウント数に対する攻撃件数から見て他の理由と見るのが正しいと判断します。アカウントの使い回しとかの。
つまり、SSLが有ろうが無かろうが発生する事象です。SSLを使えば有意に差が出るというデータでもあれば話は別です。
> いくらでもあるだろう
Re: (スコア:0)
当然、用途に対して十分脆弱でしょう。スラッシュドットにアクセスしている人は、自分のメールアドレスを振り撒きたいとは思っておらず、だからこそ「隠す」というオプションがあるのです。
しかし、httpsでないばっかりに、無線LANとかで、MiMをやられると、その人のID/パスワードは流出します。まだ流出した例がないのは、利用者が有意にすくないからで、スラッシュドットが目的に対して十分堅牢だからではありません。
Re: (スコア:1)
> 無線LANとかで、MiM
それはそっちの問題でしょう。
無線LANで乗っ取りやられたらHTTPS以前の問題ですよ。
被害者の立場では /.JのID/PW漏洩なんて簡単なレベルでなく、/.J 側としてはさほど問題ではないです。
> 用途に対して十分脆弱でしょう。
> スラッシュドットが目的に対して十分堅牢だからではありません。
目的って何ですか? あなたの勝手な思い込みでは?
メールアドレスをばら撒きたくないなら先ずメールアドレスを登録しなければいいのですよ。
/.Jは登録を強制していないでしょう。
利用者がコントロールできるのだからそれでよい。
/.Jでは、せいぜい発言者がある程度特
Re: (スコア:0)
そんなわけないだろ。だから、素人と話すのは嫌なんだよ。ウンザリする。しかも、煽りじゃなくて自分の意見を信じ切っているぽいところがなおやるせない。あなたは、「自分の信じたくないことは起こりえない」教に入信しているのかもしれないが、それを外部に押し付けるのはやめてくれ。
公衆無線LANをつかっていたら、パケットアナライザで自分が閲覧しているサイトの情報は知られてしまう。でも、HTTPSならパスワードは漏れ
Re:ログイン機能の開発コスト (スコア:0)
> > 被害者の立場では /.JのID/PW漏洩なんて簡単なレベルでなく、/.J 側としてはさほど問題ではないです。
> そんなわけないだろ。
いや、普通に被害の程度を評価してよ。
何度も言っているようにコストをちゃんと評価しましょう。被害を含めた結果を含めた評価だよ。
/.Jにとっては盗聴される回線を使った人が情報を盗まれただけで大きな被害を受けるわけではない。
無線LAN盗聴なら該当者も一人なので深刻でないし、管理外の回線だから罪に問われることは無い。
当然HTTPSを使わないことを理由にID登録が減るとかページビューが減って仕方ないとかの事態になれば問題だろうけど、それが真なら既にそうなっているわけで、事実としてなっていないことを見れば分かるように被害が無いのですよ。
振返って無線LANへ攻撃され個人は実質的な被害を受けます。最近誤認逮捕されてひどい目にあった人がいましたね。
HTTPSってWEBアクセス以外普通使いませんね。他のプロトコルは全てHTTPS並みになっているのですか?
つまり、個人は事実として簡単なレベルでない。
つまり、そんなわけなのです。
>それを外部に押し付けるのはやめてくれ。
えっ押し付けているのですか?
へー私って/.Jに書くだけで意見を押し付ける能力があるのか。
かっけー
> 公衆無線LAN
正直ってメールアドレスがもれて困るくらいに過剰にセキュリティを求めるような発言をする人が、
なぜ盗聴や割り込み可能な無線LANを使用するような話をするのでしょうか。
バランス感覚がおかしいですね。もしかしてHTTPSを使えばバッチリID/PW/Mail Addressが守れるとでも思っているのでしょうか?
> HTTPSならパスワードは漏れない。したがって、スラッシュドットに登録してあるメールアドレスが流出することもない。
あっ!! 思っているようです。
ではなぜmixiやその他HTTPSを使っている場所の情報が漏洩したのでしょうね。
口で「流出することもない」ということはいくらでもできますが、現実は漏洩しています。
現実を口先で否定とか無茶ですよ、、、
> 一見何が漏れるとまずいのかが分からないケースですら、httpsに切り替えている。
「一見何が漏れるとまずいのかが分からないケース」なのにhttpsへ切り替えるのが正しい対応ですか?
その意見をそのまま読めばHTTPを使うサイト全てが危険ですね。
いや、ネットワークにつながるありとあらゆるものがまずいですね。だって分からない脅威に対応しなきゃいけないのだから。
まあ、確かに全てHTTPSにしろという極端なことを言う人がいますがそういう人ですか?
良くセキュリティ議論に出てくる100%でなければダメ派?
> これは単なる予防線じゃなくて、現実的なリスクなんだよ。ちょっと考えればわかるでしょ。
だから、その予防線の基準や対応レベルが間違っているのだよ。
セキュリティというのは財産を守ることだから、財産が減る対応をするのは間違いだよ。
守るべきものやレベルを見間違えては正しいセキュリティではないよ。
では聞くよ。 ユーザー側の無線LANが盗聴されてメールアドレスがもれたら/.Jはどんな被害を受けるの?
場合によっては数十万円以上掛かる対策費用が妥当な被害をちゃんと見積もれる。
> 素人と話すのは嫌なんだよ
> ウンザリする
> なおやるせない
> 教に入信しているのかもしれない
> 素人は
> そんな奴は全員馘首すべきだ
> ちょっと考えればわかるでしょ
この人も私の意見を擁護してくれるようです。