パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

mixi、約4万件のアカウントが不正ログインされた可能性」記事へのコメント

  • 二段階認証でもなきゃ簡単にログインされてしまう。
    二段階認証でも突破する方法が有るみたいですし。
    ログイン機能を開発するコストが跳ね上がりますな。

    • by Anonymous Coward

      SSLにすら対応していない、ここ/.Jの立場は…。

      • いらない対応だからね。

        SSLがいる理由を無理やり考えろといわれたらいくらでも出せるけど、よくよく検討すれば穴があったりSSLとか関係なかったりする。

        • by Anonymous Coward

          うん、君がセキュリティのド素人だというのがよくわかったよ。

          • では、/.Jがコストをかけてまで新しいログイン機能を開発する理由を挙げてみてくれ。
            当然、無理やりなものなど穴の有る理由はダメだよ。

            • by Anonymous Coward

              別人だけど、

              * 成りすましによる議論の混乱を避ける
              * メールアドレスなど、公開していない個人情報の流出を防ぐ

              いくらでもあるだろう。私はIDの時はメールアドレスを公開しているので、どうでもいいが、一般的にみて、これはわりと脆弱なシステムだ。上の主張は、ちょっと何を言っているのか良くわからないな。

              • Re: (スコア:4, 参考になる)

                コストをかけてまで新しいログイン機能を開発する理由について

                > 成りすましによる議論の混乱を避ける
                > メールアドレスなど、公開していない個人情報の流出を防ぐ

                それって理由になっている?
                私はなっていないと判断します。

                あなたの挙げた理由はID/PWの漏洩があった場合の話です、SSLの話はあまり関係ないでしょう。
                今回のmixiの件もアカウント数に対する攻撃件数から見て他の理由と見るのが正しいと判断します。アカウントの使い回しとかの。
                つまり、SSLが有ろうが無かろうが発生する事象です。SSLを使えば有意に差が出るというデータでもあれば話は別です。

                > いくらでもあるだろう

              • by Anonymous Coward

                当然、用途に対して十分脆弱でしょう。スラッシュドットにアクセスしている人は、自分のメールアドレスを振り撒きたいとは思っておらず、だからこそ「隠す」というオプションがあるのです。

                しかし、httpsでないばっかりに、無線LANとかで、MiMをやられると、その人のID/パスワードは流出します。まだ流出した例がないのは、利用者が有意にすくないからで、スラッシュドットが目的に対して十分堅牢だからではありません。

              • > 無線LANとかで、MiM

                それはそっちの問題でしょう。
                無線LANで乗っ取りやられたらHTTPS以前の問題ですよ。
                被害者の立場では /.JのID/PW漏洩なんて簡単なレベルでなく、/.J 側としてはさほど問題ではないです。

                > 用途に対して十分脆弱でしょう。
                > スラッシュドットが目的に対して十分堅牢だからではありません。

                目的って何ですか? あなたの勝手な思い込みでは?
                メールアドレスをばら撒きたくないなら先ずメールアドレスを登録しなければいいのですよ。
                /.Jは登録を強制していないでしょう。
                利用者がコントロールできるのだからそれでよい。

                /.Jでは、せいぜい発言者がある程度特

              • by Anonymous Coward on 2014年06月08日 12時41分 (#2617320)

                通信内容が暗号化されないと「mtdra さんは中間者攻撃を受けていて、 このストーリーで暴れている mtdra は本当の mtdra さんの意見ではありません」とデマが流されたとき,それを誰も確認できない。

                親コメント
              • > それを誰も確認できない。

                だいたいにおいて確認する必要ないし。
                表面上誰とも特定できないA.C.と形だけとしても議論が進行しているでしょ。
                また、前にも言ったけど不用意に個人を特定されてまずい情報は最初から/.Jには登録していません。攻撃により信用が無くなったらIDを取り直せばよいだけです。
                がちがちにセキュリティを固めるほどの防御はいらない世界です。

                > それを誰も確認できない。

                そうとはいえやろうと思えば確認できるよ。もしかしてインターネットは匿名とか信じている人?
                あと、予想するに確認とか証明をあなたの中じゃ現実離れした基準で言っているでしょう。
                無茶なセキュリティ要件や現実離れした基準で。

                親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...