アカウント名:
パスワード:
当時の修正方法では不十分だと感じていましたが、やっとパスワードを導入したのですね。「東横インWeb予約の脆弱性が修正された…が」 http://w0s.jp/diary/66 [w0s.jp]
これを改善と呼ぶべきかかどうか個人的には微妙。
なぜなら「メールアドレス+パスワード」がよい方法であるとは思わないからだ。ここならパスワードリスト攻撃について説明する必要はないだろう。
「具体的被害」というのもいまいちピンと来ない。東横INNの被害のことなら、それは東横INNのポリシーの問題だと思う。もちろんポリシーをもって作られたかどうかは知らない。
また、一般的に使い勝手とセキュリティはトレードオフの関係にあるので、極端な話、変更によって利用者がいなくなってしまっては意味がない。
まぁ、東横INNの予約サイトがどういう作りでも個人的にはどうでもいい。
単にタレコミ人が「セキュリティが改善」とドヤっているのが気に入らなかっただけなのかもしれない。
> これを改善と呼ぶべきかかどうか個人的には微妙。
現状から比べれば改善したよ、という話であって、あなたの目指すゴールから近いか遠いか、という会話は誰もしていないと思いますが。
> パスワードリスト攻撃について説明する必要はないだろう。
認証方式の話と、その運用からくるリスクの話を混同していませんか。
> 現状から比べれば改善したよ、という話であって、
俺は社会全体から見たマクロな視点での話をしている。なお、末端の技術者がこの話を理解するのが難しいことも承知している。
> 俺は社会全体から見たマクロな視点での話をしている。
おやおや、ずいぶん格好いいですね。貴方が話題の輪に加わっていない、ということだけわかりました。
脱線していることに自覚があるんなら、ここに書かなきゃいいのに。
君たちが狭い視野で改善したと言っているのにあきれてるんだよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
6年前はパスワード "のみ" でログインできたのですよ (スコア:2, 参考になる)
当時の修正方法では不十分だと感じていましたが、やっとパスワードを導入したのですね。
「東横インWeb予約の脆弱性が修正された…が」 http://w0s.jp/diary/66 [w0s.jp]
Re: (スコア:0)
これを改善と呼ぶべきかかどうか個人的には微妙。
なぜなら「メールアドレス+パスワード」がよい方法であるとは思わないからだ。
ここならパスワードリスト攻撃について説明する必要はないだろう。
「具体的被害」というのもいまいちピンと来ない。
東横INNの被害のことなら、それは東横INNのポリシーの問題だと思う。
もちろんポリシーをもって作られたかどうかは知らない。
また、一般的に使い勝手とセキュリティはトレードオフの関係にあるので、極端な話、変更によって利用者がいなくなってしまっては意味がない。
まぁ、東横INNの予約サイトがどういう作りでも個人的にはどうでもいい。
単にタレコミ人が「セキュリティが改善」とドヤっているのが気に入らなかっただけなのかもしれない。
Re: (スコア:1)
> これを改善と呼ぶべきかかどうか個人的には微妙。
現状から比べれば改善したよ、という話であって、
あなたの目指すゴールから近いか遠いか、という会話は誰もしていないと思いますが。
> パスワードリスト攻撃について説明する必要はないだろう。
認証方式の話と、その運用からくるリスクの話を混同していませんか。
Re: (スコア:-1)
> 現状から比べれば改善したよ、という話であって、
俺は社会全体から見たマクロな視点での話をしている。
なお、末端の技術者がこの話を理解するのが難しいことも承知している。
Re:6年前はパスワード "のみ" でログインできたのですよ (スコア:0)
> 俺は社会全体から見たマクロな視点での話をしている。
おやおや、ずいぶん格好いいですね。
貴方が話題の輪に加わっていない、ということだけわかりました。
脱線していることに自覚があるんなら、ここに書かなきゃいいのに。
Re: (スコア:0)
君たちが狭い視野で改善したと言っているのにあきれてるんだよ。
Re: (スコア:0)