アカウント名:
パスワード:
初期管理者アカウントのadmin/passwordが脆弱性となると、この手の設定してる会社はすべて変えないといけなくなるな・・・・
これからはデフォルトパスワードではなくて、初回ログイン時にパスワードを設定させる機能が常識になるかなぁ。
これは上級審で覆るのでは?
これ判決は1年前に出ており確定しています。
判決内容の解説はこっちの方が詳しいです。http://d.hatena.ne.jp/redips+law/20141026/1414327403 [hatena.ne.jp]
なお文中に出てくる調査に当たったL(社)はラックです。
ん、最近はインストーラー経由だと設定出来なくなってなかったか、それ。直にSQL叩り、後から変更したら設定できたとは思うけど。
だめです。変更していないことを知っているのに顧客に変更を勧めていないなら説明義務違反で100%の賠償責任を負いますし、伝えていても変更していなければ適切なセキュリティ対策が採られたアプリケーションを提供すべき債務の不履行で負けます。初期設定のパスワードは技術者ならよく知っているものであり、「予見不可能」の言い訳は通用しません。
とっとと変更しないと、被害に遭って顧客から訴えられたとき負けて賠償責任を負わされますよ。
そして開発側で変更して引き渡したらその「引き渡したパスワード」が漏洩して訴えられるんですね
#世の中アカウントというものを軽く考えすぎなのではないか
「scott/tiger」も脆弱性ですか?
この間もっとも多いパスワードが「password」って言う記事見て、ひょっとしたら「Enter password」って書いているからでは?と思ってしまったのだが、これも説明義務違反ですか?※正直者が「ふんふん、passwordって入力するのね?」と思った
判決文読めばわかりますが、
>>被告は,原告に対し,管理機能ログインID及びパスワードの変更方法を開示しなかったから,>>管理機能ログインID及びパスワードが推知されやすいもの(ログインIDが「admin」,パスワードが「password」)>>であったことは,被告の債務不履行を構成する。
なんで開示しなかったんだろうか…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
どっちもグダグダだなぁ (スコア:0)
初期管理者アカウントのadmin/passwordが脆弱性となると、この手の設定してる会社はすべて変えないといけなくなるな・・・・
Re:どっちもグダグダだなぁ (スコア:1)
これからはデフォルトパスワードではなくて、初回ログイン時にパスワードを設定させる機能が常識になるかなぁ。
Re: (スコア:0)
これは上級審で覆るのでは?
Re:どっちもグダグダだなぁ (スコア:2, 参考になる)
これ判決は1年前に出ており確定しています。
判決内容の解説はこっちの方が詳しいです。
http://d.hatena.ne.jp/redips+law/20141026/1414327403 [hatena.ne.jp]
なお文中に出てくる調査に当たったL(社)はラックです。
Re: (スコア:0)
Re: (スコア:0)
ん、最近はインストーラー経由だと設定出来なくなってなかったか、それ。
直にSQL叩り、後から変更したら設定できたとは思うけど。
Re: (スコア:0)
だめです。変更していないことを知っているのに顧客に変更を勧めていないなら説明義務違反で100%の賠償責任を負いますし、伝えていても変更していなければ適切なセキュリティ対策が採られたアプリケーションを提供すべき債務の不履行で負けます。初期設定のパスワードは技術者ならよく知っているものであり、「予見不可能」の言い訳は通用しません。
とっとと変更しないと、被害に遭って顧客から訴えられたとき負けて賠償責任を負わされますよ。
Re: (スコア:0)
そして開発側で変更して引き渡したらその「引き渡したパスワード」が漏洩して訴えられるんですね
#世の中アカウントというものを軽く考えすぎなのではないか
Re: (スコア:0)
「scott/tiger」も脆弱性ですか?
Re: (スコア:0)
この間もっとも多いパスワードが「password」って言う記事見て、
ひょっとしたら「Enter password」って書いているからでは?と思ってしまったのだが、これも説明義務違反ですか?
※正直者が「ふんふん、passwordって入力するのね?」と思った
Re: (スコア:0)
判決文読めばわかりますが、
>>被告は,原告に対し,管理機能ログインID及びパスワードの変更方法を開示しなかったから,
>>管理機能ログインID及びパスワードが推知されやすいもの(ログインIDが「admin」,パスワードが「password」)
>>であったことは,被告の債務不履行を構成する。
なんで開示しなかったんだろうか…