アカウント名:
パスワード:
他社の脆弱性見つけて勝手に公表するような悪事を働く前に自社のをやれよ
こういうことを繰り返して、人間が丸くなっていくんだよ。
これからGoogleは、他社のシステムのセキュリティー上の欠点について指摘する度に「お前がな」と言い返されるようになる。そのうち他人の欠点について何も言わなくなる。
「他人の足を引っ張ってる」って「他社の脆弱性見つけて勝手に公表するような」ことを言うんだよね?w
外部に漏らさなければそれ自体は脆弱ではない。生パスであろうがなかろうが情報は漏洩させてはならないし、その経路が実績として保護されていたのだから、この際生パスであっても大した問題ではない。
問題は「同社のポリシー反して」いた点のみ。
これはつまり、これらのパスワードを見つけた人は誰もがそのパスワードを平文で読めたということだ。
人間の良識に頼るのは立派な脆弱性だろう
このレベルの情報にアクセス可能な人間は契約、待遇、責任等で十分に縛られた人間のみでなければならない。そうでないのなら、そのシステムのセキュリティは既に破綻している。パスワードだけ見えなければ良い訳がない。パスワードが見えない方が良いという主張は妥当なものだが、重要度は相対的に低い。
それを突破されたときのための暗号化でしょうに。重要度は相対的に低いというのも意味不明。パスワードは何よりも重要だろう。これが落ちれば、本人になりすましてなんでもありなのだから。
パスワードのハッシュ化を最高重視する発想は開発寄りの技術者固有のものだと思うのだが、経営者やセキュリティ技術者との感覚とは少しズレているのでセキュリティの在り方についてもっと真面目に考えた方がいい。
直のデータにアクセスを許している状況は既に最悪の段階であって、「パスワードだけは漏洩しなかった」等という言い訳が組織ブランドのダメージ軽減に繋がるのではという期待は甘いというか、世間はそんなものを評価したりしない。個人情報級の漏洩はそれ自体が十分な大事故だ。ポリシーとして、まずその状況に至ってはならない。確かに事故は起こりうるものだが、パスワードだけを守る対策は実際にはあまり意味がない。
パスワードのハッシュ化保持は、要件が合えばほぼノーコストで実現できるが故にメリットの多い設計ではあるが、情報を守るという観点で真摯に考えるなら、パスワードだけでなく、他のデータもレコード単位の暗号化を掛けるべきなのではという自問を常に抱えているべきだろう。
ぜんぜん最悪の段階じゃないと思うけど。最悪の段階とはパスワードが漏洩して、本人に成りすましての送金や物品の購入、他人へ迷惑かけることかと。漏れたパスワードが使いまわされたら他社のサービスにも影響が出るし、住所や電話番号が漏れるのとはまさに次元が違う。
あとコストがかかることを知ってるくせに、妥協点としてパスワードだけでも守ることに意味がないとか、全くもって何言ってるのか理解できない。
これでもセキュスペなんだが、あなたのような上から目線の高レベルのセキュリティ技術者の間ではそんな常識なの?
住所や電話番号があれば新規になりすましてアカウント登録できるの知ってる?パスワードはとても大事だが、パスワード以外も大事だよ。ってことじゃない。
それこそ二段階認証使ってれば、生パスワードが漏れても乗っ取りはムリなんじゃないの?
もちろん生パスワードよりはハッシュの方がいいし、ハッシュでも漏れるよりは漏れない方が良いし、単一(一段階認証?)よりは二段階認証の方が良い。
他にもいろんな情報で認証かけてるから、いつもと違う場所やPCからアクセスしただけで、その旨を伝えるE-mailが登録アドレスあてに送られてきたりする。
セキュリティなんてのはそのトータルで測るものなので、Googleのセキュリティは総じて高い方だと思うよ、
二段階認証は強制じゃないし、メールが来ようが不正アクセスされた後なら大して意味はない。
そのユーザーの中にパスワードを他と使い回している人がいたら…?とかもあるけどね。
使い回すような人が2段階認証使ってるとは思えないけどね。
>自社のをやれよ
やった結果見てナニ寝言こいてはるんやろか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
だっせぇ (スコア:1)
他社の脆弱性見つけて勝手に公表するような悪事を働く前に
自社のをやれよ
Re: (スコア:0)
こういうことを繰り返して、人間が丸くなっていくんだよ。
これからGoogleは、他社のシステムのセキュリティー上の欠点について指摘する度に「お前がな」と言い返されるようになる。
そのうち他人の欠点について何も言わなくなる。
Re: (スコア:0)
「他人の足を引っ張ってる」って「他社の脆弱性見つけて勝手に公表するような」ことを言うんだよね?w
Re: (スコア:0)
外部に漏らさなければそれ自体は脆弱ではない。
生パスであろうがなかろうが情報は漏洩させてはならないし、その経路が実績として保護されていたのだから、
この際生パスであっても大した問題ではない。
問題は「同社のポリシー反して」いた点のみ。
Re:だっせぇ (スコア:1)
人間の良識に頼るのは立派な脆弱性だろう
Re: (スコア:0)
このレベルの情報にアクセス可能な人間は契約、待遇、責任等で十分に縛られた人間のみでなければならない。
そうでないのなら、そのシステムのセキュリティは既に破綻している。
パスワードだけ見えなければ良い訳がない。
パスワードが見えない方が良いという主張は妥当なものだが、重要度は相対的に低い。
Re: (スコア:0)
それを突破されたときのための暗号化でしょうに。
重要度は相対的に低いというのも意味不明。パスワードは何よりも重要だろう。
これが落ちれば、本人になりすましてなんでもありなのだから。
Re: (スコア:0)
パスワードのハッシュ化を最高重視する発想は開発寄りの技術者固有のものだと思うのだが、
経営者やセキュリティ技術者との感覚とは少しズレているのでセキュリティの在り方についてもっと真面目に考えた方がいい。
直のデータにアクセスを許している状況は既に最悪の段階であって、「パスワードだけは漏洩しなかった」等という言い訳が
組織ブランドのダメージ軽減に繋がるのではという期待は甘いというか、世間はそんなものを評価したりしない。
個人情報級の漏洩はそれ自体が十分な大事故だ。ポリシーとして、まずその状況に至ってはならない。
確かに事故は起こりうるものだが、パスワードだけを守る対策は実際にはあまり意味がない。
パスワードのハッシュ化保持は、要件が合えばほぼノーコストで実現できるが故にメリットの多い設計ではあるが、
情報を守るという観点で真摯に考えるなら、パスワードだけでなく、他のデータもレコード単位の
暗号化を掛けるべきなのではという自問を常に抱えているべきだろう。
Re: (スコア:0)
ぜんぜん最悪の段階じゃないと思うけど。
最悪の段階とはパスワードが漏洩して、本人に成りすましての送金や物品の購入、他人へ迷惑かけることかと。
漏れたパスワードが使いまわされたら他社のサービスにも影響が出るし、住所や電話番号が漏れるのとはまさに次元が違う。
あとコストがかかることを知ってるくせに、
妥協点としてパスワードだけでも守ることに意味がないとか、全くもって何言ってるのか理解できない。
これでもセキュスペなんだが、あなたのような上から目線の高レベルのセキュリティ技術者の間ではそんな常識なの?
Re: (スコア:0)
住所や電話番号があれば新規になりすましてアカウント登録できるの知ってる?
パスワードはとても大事だが、パスワード以外も大事だよ。ってことじゃない。
Re: (スコア:0)
それこそ二段階認証使ってれば、生パスワードが漏れても乗っ取りはムリなんじゃないの?
もちろん生パスワードよりはハッシュの方がいいし、
ハッシュでも漏れるよりは漏れない方が良いし、
単一(一段階認証?)よりは二段階認証の方が良い。
他にもいろんな情報で認証かけてるから、いつもと違う場所やPCからアクセスしただけで、
その旨を伝えるE-mailが登録アドレスあてに送られてきたりする。
セキュリティなんてのはそのトータルで測るものなので、Googleのセキュリティは総じて高い方だと思うよ、
Re: (スコア:0)
二段階認証は強制じゃないし、メールが来ようが不正アクセスされた後なら大して意味はない。
Re: (スコア:0)
そのユーザーの中にパスワードを他と使い回している人がいたら…?
とかもあるけどね。
Re: (スコア:0)
使い回すような人が2段階認証使ってるとは思えないけどね。
Re: (スコア:0)
>自社のをやれよ
やった結果見てナニ寝言こいてはるんやろか