アカウント名:
パスワード:
元当局関係者の証言ばっかり並べても第三者が検証できない限り与太同然。少なくとも型番が分かれば中古機器からファームウェア吸い出すなりして攻撃の痕跡辿れる可能性がある。なぜそれをひた隠しにするのか。
あなたがファーウェイ製のネットワーク機器のファームウェアを解析して何も出なかったと証明しない限り、あなたの話も与太話ですね。隠すどころか普通に売っているんだから買ってみては?
立証責任ってどっちにあるか知ってる?
セキュリティ対策に対しての知識が無さ過ぎです。説明する事でのリスクがあるっていう事が分かっていない。どこまで分かっているかを相手に教えるだけだし、見つかっていない穴を教える事にもなる。しかも政府が出てきている事案で国家間の問題にまでなっている事に対して安全保障的に全公開はされないでしょう。あなたが納得するだけの為に安全保障を脅かす事なんてするわけないでしょ
何らかの事案が発生して、ハッキングに対する訴訟が起きた時に初めて公開されるんじゃないですかね少なくとも状況証拠的な事は上がっているんだから、完全否定する方がおかしいそれでもどうしても無いっていうならご自分で勝手に証明すれば良いってだけですよ。
こういう「自分ではセキュリティわかってるつもり」の人が公開鍵を公開するのは危険とか言い出すんだろうなぁ
別に公開鍵なんて公開しても何も問題ないと思ってるけど?変なレッテル貼りして叩くような事しか出来ないなんてレベル低過ぎでしょ君こそアカウント画面で平気で「このユーザー名は登録されていません」なんてエラーメッセージを平気で出しそうだね
やっぱり「セキュリティわかってるつもり」のにわかだってことがバレちゃったねw
セキュリティの都市伝説を暴く [slideshare.net] - EGセキュアソリューションズ株式会社 徳丸浩
30. まとめ • ログイン時にIDとパスワードのどちらが間違いかを 「わからないように」表示するのは都市伝説ではな く定説だが… • 最近見直しされつつある • ログインIDが公開されているサイトでは、そもそも 効果が望めない • ログインしにくいことによるデメリットもあるので、 他のコントロールがあれば、IDとパスワードを別々 に入力する仕様もあり得る
横からすみませんがアカウント画面で「このユーザー名は登録されていません」って出るの何か問題あるんですか?っていうかそこでエラーメッセージ出して画面遷移止めないと別人が同じユーザー名で二重登録とかしちゃマズいでしょうスラドでもアカウント作成 [srad.jp]のページ見れば「利用可否のチェック」ありますよ
>ログインIDが公開されているサイトでは
限定環境で嘘だって思い込むような浅はかな知ったか自称分かっているつもりの人なのね程度が低過ぎでしょパソコンの大先生レベル?
リンク先のスライドを何も読んでないのかな?ログインIDが公開されていない銀行等のサイトでも見直しされつつあるって話なんだけど?セキュリティに自信ニキ、どんなセキュリティ資格持ってるのか教えてよ?パソコンの大先生のボクよりきっと立派な資格と業界経験をお持ちなんでしょ?
銀行のサイトでも他の認証方法との組み合わせ限定だろ?従来の認証方式なんて、どこで線引きするなんてポリシーの差でしか無いんだよ。再認証プロセス含めて、キャッチアップする組み合わせでフォローの仕方が変わるだけ正規系なのか非正規系どちらに重きを置くかだけの違いで、わからなくする事も辞書アタック系には有効
で、その正規系が優先されるアプローチでファーウェイみたいな企業のコンプラ意識が低い製品に対して対処できるの?銀行側でも使って欲しく無い機器である事は何も変わらないと思うけど?
> 銀行のサイトでも他の認証方法との組み合わせ限定だろ?
他の認証方法との組み合わせ限定じゃねーよ28ページに「アカウントロックとか」って書いてあるだろ(#4176756)が言うようにどうせユーザーの存在は登録ページでバレるだからアカウントロックとかレートリミットとかパスワードポリシーで対処するの
リンク先も読まないwセキュリティ資格もないwセキュリティ業界経験もないw日本語すら読めないw
> 君こそアカウント画面で平気で「このユーザー名は登録されていません」なんてエラーメッセージを平気で出しそうだね
とイキってたのが次々と論破されて
> 従来の認証方式なんて、どこで線引きするなんてポリシーの差でしか無いんだよ。
なーんて後退してるしw
それで「お前はセキュリティが分かってない!」とのたまってたのウケるーwww
最後の最後にレッテル貼りして思考停止ですか本当に程度の低い人でしか無かったようですね分かりやすい自己紹介してくれてありがとう
ちゃーんとボクはセキュリティ資格の有無を聞いたよ?キミのセキュリティ知識が浅はかなことも証明したキミが読み間違えている部分も指摘してあげたそれに答えられてないのはキミの方
> リンク先も読まないw> セキュリティ資格もないw> セキュリティ業界経験もないw> 日本語すら読めないw
まあこれ全部事実だから何も言い返せないよねw
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
対象型番とPoCコードを出せ (スコア:0)
元当局関係者の証言ばっかり並べても第三者が検証できない限り与太同然。
少なくとも型番が分かれば中古機器からファームウェア吸い出すなりして攻撃の痕跡辿れる可能性がある。
なぜそれをひた隠しにするのか。
Re: (スコア:0)
あなたがファーウェイ製のネットワーク機器のファームウェアを解析して何も出なかったと証明しない限り、あなたの話も与太話ですね。
隠すどころか普通に売っているんだから買ってみては?
Re: (スコア:0)
立証責任ってどっちにあるか知ってる?
Re: (スコア:0)
セキュリティ対策に対しての知識が無さ過ぎです。
説明する事でのリスクがあるっていう事が分かっていない。
どこまで分かっているかを相手に教えるだけだし、見つかっていない穴を教える事にもなる。
しかも政府が出てきている事案で国家間の問題にまでなっている事に対して安全保障的に全公開はされないでしょう。
あなたが納得するだけの為に安全保障を脅かす事なんてするわけないでしょ
何らかの事案が発生して、ハッキングに対する訴訟が起きた時に初めて公開されるんじゃないですかね
少なくとも状況証拠的な事は上がっているんだから、完全否定する方がおかしい
それでもどうしても無いっていうならご自分で勝手に証明すれば良いってだけですよ。
Re:対象型番とPoCコードを出せ (スコア:0)
こういう「自分ではセキュリティわかってるつもり」の人が公開鍵を公開するのは危険とか言い出すんだろうなぁ
Re: (スコア:0)
別に公開鍵なんて公開しても何も問題ないと思ってるけど?変なレッテル貼りして叩くような事しか出来ないなんてレベル低過ぎでしょ
君こそアカウント画面で平気で「このユーザー名は登録されていません」なんてエラーメッセージを平気で出しそうだね
Re: (スコア:0)
やっぱり「セキュリティわかってるつもり」のにわかだってことがバレちゃったねw
セキュリティの都市伝説を暴く [slideshare.net] - EGセキュアソリューションズ株式会社 徳丸浩
Re: (スコア:0)
横からすみませんがアカウント画面で「このユーザー名は登録されていません」って出るの何か問題あるんですか?
っていうかそこでエラーメッセージ出して画面遷移止めないと別人が同じユーザー名で二重登録とかしちゃマズいでしょう
スラドでもアカウント作成 [srad.jp]のページ見れば「利用可否のチェック」ありますよ
Re: (スコア:0)
>ログインIDが公開されているサイトでは
限定環境で嘘だって思い込むような浅はかな知ったか自称分かっているつもりの人なのね
程度が低過ぎでしょ
パソコンの大先生レベル?
Re: (スコア:0)
>ログインIDが公開されているサイトでは
限定環境で嘘だって思い込むような浅はかな知ったか自称分かっているつもりの人なのね
程度が低過ぎでしょ
パソコンの大先生レベル?
リンク先のスライドを何も読んでないのかな?
ログインIDが公開されていない銀行等のサイトでも見直しされつつあるって話なんだけど?
セキュリティに自信ニキ、どんなセキュリティ資格持ってるのか教えてよ?
パソコンの大先生のボクよりきっと立派な資格と業界経験をお持ちなんでしょ?
Re: (スコア:0)
銀行のサイトでも他の認証方法との組み合わせ限定だろ?
従来の認証方式なんて、どこで線引きするなんてポリシーの差でしか無いんだよ。
再認証プロセス含めて、キャッチアップする組み合わせでフォローの仕方が変わるだけ
正規系なのか非正規系どちらに重きを置くかだけの違いで、わからなくする事も辞書アタック系には有効
で、その正規系が優先されるアプローチでファーウェイみたいな企業のコンプラ意識が低い製品に対して対処できるの?
銀行側でも使って欲しく無い機器である事は何も変わらないと思うけど?
Re: (スコア:0)
> 銀行のサイトでも他の認証方法との組み合わせ限定だろ?
他の認証方法との組み合わせ限定じゃねーよ
28ページに「アカウントロックとか」って書いてあるだろ
(#4176756)が言うようにどうせユーザーの存在は登録ページでバレる
だからアカウントロックとかレートリミットとかパスワードポリシーで対処するの
リンク先も読まないw
セキュリティ資格もないw
セキュリティ業界経験もないw
日本語すら読めないw
> 君こそアカウント画面で平気で「このユーザー名は登録されていません」なんてエラーメッセージを平気で出しそうだね
とイキってたのが次々と論破されて
> 従来の認証方式なんて、どこで線引きするなんてポリシーの差でしか無いんだよ。
なーんて後退してるしw
それで「お前はセキュリティが分かってない!」とのたまってたのウケるーwww
Re: (スコア:0)
最後の最後にレッテル貼りして思考停止ですか
本当に程度の低い人でしか無かったようですね
分かりやすい自己紹介してくれてありがとう
Re: (スコア:0)
ちゃーんとボクはセキュリティ資格の有無を聞いたよ?
キミのセキュリティ知識が浅はかなことも証明した
キミが読み間違えている部分も指摘してあげた
それに答えられてないのはキミの方
> リンク先も読まないw
> セキュリティ資格もないw
> セキュリティ業界経験もないw
> 日本語すら読めないw
まあこれ全部事実だから何も言い返せないよねw