アカウント名:
パスワード:
他社の脆弱性見つけて勝手に公表するような悪事を働く前に自社のをやれよ
外部に漏らさなければそれ自体は脆弱ではない。生パスであろうがなかろうが情報は漏洩させてはならないし、その経路が実績として保護されていたのだから、この際生パスであっても大した問題ではない。
問題は「同社のポリシー反して」いた点のみ。
これはつまり、これらのパスワードを見つけた人は誰もがそのパスワードを平文で読めたということだ。
人間の良識に頼るのは立派な脆弱性だろう
それこそ二段階認証使ってれば、生パスワードが漏れても乗っ取りはムリなんじゃないの?
もちろん生パスワードよりはハッシュの方がいいし、ハッシュでも漏れるよりは漏れない方が良いし、単一(一段階認証?)よりは二段階認証の方が良い。
他にもいろんな情報で認証かけてるから、いつもと違う場所やPCからアクセスしただけで、その旨を伝えるE-mailが登録アドレスあてに送られてきたりする。
セキュリティなんてのはそのトータルで測るものなので、Googleのセキュリティは総じて高い方だと思うよ、
そのユーザーの中にパスワードを他と使い回している人がいたら…?とかもあるけどね。
使い回すような人が2段階認証使ってるとは思えないけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
だっせぇ (スコア:1)
他社の脆弱性見つけて勝手に公表するような悪事を働く前に
自社のをやれよ
Re: (スコア:0)
外部に漏らさなければそれ自体は脆弱ではない。
生パスであろうがなかろうが情報は漏洩させてはならないし、その経路が実績として保護されていたのだから、
この際生パスであっても大した問題ではない。
問題は「同社のポリシー反して」いた点のみ。
Re: (スコア:1)
人間の良識に頼るのは立派な脆弱性だろう
Re: (スコア:0)
それこそ二段階認証使ってれば、生パスワードが漏れても乗っ取りはムリなんじゃないの?
もちろん生パスワードよりはハッシュの方がいいし、
ハッシュでも漏れるよりは漏れない方が良いし、
単一(一段階認証?)よりは二段階認証の方が良い。
他にもいろんな情報で認証かけてるから、いつもと違う場所やPCからアクセスしただけで、
その旨を伝えるE-mailが登録アドレスあてに送られてきたりする。
セキュリティなんてのはそのトータルで測るものなので、Googleのセキュリティは総じて高い方だと思うよ、
Re:だっせぇ (スコア:0)
そのユーザーの中にパスワードを他と使い回している人がいたら…?
とかもあるけどね。
Re: (スコア:0)
使い回すような人が2段階認証使ってるとは思えないけどね。