パスワードを忘れた? アカウント作成
11411678 story
情報漏洩

Mozilla開発者などの情報7万件以上が流出した可能性 12

ストーリー by hylom
気を付けましょう 部門より
あるAnonymous Coward 曰く、

Mozillaの開発者向けサイト「Moziila Developer Network」に登録しているユーザーのメールアドレス約7万6000件や約4000件のハッシュ化されたパスワードが、一般にアクセスできるサーバー上に置かれていたことが判明した(Mozilla Security BlogITmedia)。

6月23日から30日間に渡って、データベースのデータをサニタイズするプロセスに不具合があったことが原因の模様。現時点では公開されていたデータは削除されているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年08月07日 8時42分 (#2652733)

    MDN Database Disclosure | Mozilla Security Blogの抄訳
    MDN データベースの情報漏洩について | Mozilla Japan ブログ
    http://www.mozilla.jp/blog/entry/10418/ [mozilla.jp]

    Personaではなく旧MDNのパスワードで、ソルトはユーザ毎に異なっていた
    https://twitter.com/marsf/status/495951346445463553 [twitter.com]
    https://twitter.com/dynamitter/status/496141458890448896 [twitter.com]

  • by Anonymous Coward on 2014年08月07日 10時48分 (#2652792)

    > データベースのデータをサニタイズするプロセス

    誤訳だと思ったらソースがそうだった。
    正しくはたぶんSQLエスケープ処理ですよね。
    「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな

    • by Anonymous Coward

      HTMLじゃなくてSQLだよね。
      でもHTMLで入れてるんかな?それにバッチだし。
      リンク切れとか各国語版の整合とかもしかすると不適切な表現とか、そういうののチェックという可能性も。

      「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな

      これはちょっと意味わかんない。もしかして入出力時の処理じゃないからとかそんな話?

      • by Anonymous Coward

        HTMLじゃなくてSQLだよね。

        おっと、「SQLじゃなくてHTMLだよね。」のまちがいだw
        データベースにSQLいれてどうするんだとwww

    • by Anonymous Coward

      データベースのデータってなんだよw
      メアドでは無いと思うけど。。

      • by Anonymous Coward

        MDNはCMS使ってます。データベースのデータってのはCMSのデータでコンテンツそのものです。

        で、使ってるCMSなんだっけと探してようやく謎が解けた。
        https://developer.mozilla.org/en-US/docs/MDN/About#Download_content [mozilla.org]

        If you want to download a complete, anonymized SQL dump of the MDN database -- that is, a copy of the database with all private user information scrubbed out, we provide that as well. This dump is updated on the

    • by Anonymous Coward

      SQLの検証はパラメータライズドクエリ使え、で話は全て完了するんじゃないかな。
      (プリペアドステートメント? プレースホルダ? 呼称がいくつもあるのも普及を妨げている原因の一つだと思う)
      というか、基本そっちが推奨のはずで、話題にすら出ないのがびっくり。
      いつまでSQLにエスケープ処理って言葉が残るのだろうか。
      動的にテーブル名変えるSQLとかなら仕方ないが、そういうのはそもそも仕様から直した方が良いと思う。

      #初心者が見ると、文字列結合してSQL自前のラッパクラスで検証する方が楽に見える様だ。
      #パラメータライズドクエリのが全然楽なのに。

  • by Anonymous Coward on 2014年08月07日 10時41分 (#2652787)

    T/OったらT/O

    • by Anonymous Coward

      アニヲタカス無職と言えとw

  • by Anonymous Coward on 2014年08月07日 11時35分 (#2652819)

    駄目だこれは

    • by Anonymous Coward

      FirefoxOSとかつくって開発者さんよろしくーってタイミングでこれは……

      • by Anonymous Coward

        Mozillaは開発者情報までオープンです!という話では?(違)

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...