< http://anond.hatelabo.jp/20110... | http://anond.hatelabo.jp/20110... >

2011-08-25

http://anond.hatelabo.jp/20110809173009

この記事は中立として書かれてないのが非常に残念。Pixiv攻撃側(実際は攻撃してない)を攻撃する立場を常に取ってるので、擁護と取られても仕方がない書き方をしている。

私的な意見だが、これを見て安心したり、馬鹿が騒いでるだけかと思った人は少し考えるようにして欲しい。あまりに短絡的ではないだろうか。

問題を整理するが、「今回危ないと騒いだ人」=「喚起サイド」(上記Pixivを攻撃した側と同じグループ)とし、「大丈夫だよと返した技術者及びそれに同調した人」=「安全サイド」とする。

問題整理

ID問題」

これは以前から騒がれていた。これに対してPixiv公式は対応すると発表しているが、公表した時期が過ぎてもいまだに対策がなされていない。

この問題が再び取り上げられたのだろう。

「Admin問題」

こちらは新しい問題。管理者権限のためのページがほぼ一般公開されているというものだ。

普段こういうものは見えないようになっていたり、特定IP以外は弾くような仕組みになっている。

それが一般人でも見えるようになってしまっていることが今回の問題である

問題への回答及びそれらへの動きへの意見

これらの問題に対して技術者たちも勿論反論している。

ここでは私なりの考えを述べる。

ID問題」

「全数探索攻撃」「ブルートフォースアタック」はその必要オーダー(計算時間)の大きさから攻撃はされないだろうという意見があった。

これは先の喚起サイドも承知していることだった。安全サイドも知っていることである

わかりやすい攻撃例としてこの攻撃が挙げられたのであって、実際様々な攻撃手段が存在することは両サイドも理解している筈である

問題は「IDが丸見え」に対して、「適当パスワードを入れて試すにはいくらでも試せる」ことである。攻撃の成功失敗は問わず、攻撃の可否を問題視している。

TwitterGmailを例に挙げて「ID丸見えでしょ?」という人がいるが、ずっと前から攻撃の可否を抑えるために誤入力が続くとアカウントロックをかけてログイン制限を設けてるようにしている。

実際この騒動を受けてPixivは誤入力が続くとログインの制限を行うようにした。現在もこの仕様IPアドレスによるログイン制限のようだ)は続いており、これは評価されるべきである

ただ個人的な意見を言えば、何故IPアドレスによるログイン制限なのかが不明である多目的による複数アカウントを許可しているPixivならばアカウントロックが定石ではないだろうか。

「Admin問題」

管理者権限IDパスワードがわからなければ攻撃されない。両者を当てることは非常に困難という意見があった。

これは正論である。そしてこれが安全サイドの誤解を招いたと考えている。

喚起サイドは常に「危険があるかもしれないから、パスワードを変えてしばらくログインしない方がいい」という「危険性を提示していた」に過ぎないのだ。

しかTwitterなどでは「ハッキングされたの?されてないの?」という悪魔存在証明の答えを聞きたがっていた。

そこに先述の安全性を証明する意見が来た。これにより安全サイドは安心した。勿論これは「経験則上は安心していいこと」である現在使われてる通信暗号も「経験則上は安全が証明されてる」ので。

ただその後の動きが不穏だった。喚起サイドを「Pixivを攻撃したいだけの連中が騒いでた」と非難し始めたことである

とある人のTogetterが発端となったが、これは後述する。

ソニーコンピュータエンターテイメント個人情報流出事件とは性質が違うが、「発覚してからでは遅いから予防策を行う」のが定石である

特に今回の問題は外からでは何もわからないため、喚起サイドは提示することしかできなかったのだ。南京錠で戸締りされた誰もいない豪邸の中から物音がすれば、怪しいと思わないだろうか。

悪魔存在証明及びとある人のTogetter

ある人のTogetterが安全サイドを悪魔存在証明シフトさせていったと考えられる。

先述しているが、「結果的には経験則上は安全である」ためこの人のTogetterが間違っているというわけではない。

しかしどちらにもならない、観測されて初めて成立する量子論的な考えに、観測される以前から成立している古典力学的な考えを適用することがナンセンスである

古典力学的な考えの方が大勢にわかりやすく受け入れやすいのは確かであるだけに、悪魔存在証明シフトする非常に残念な動きが見られた。

まとめ

まとめとして、

・喚起サイドは情報の強化を行ってこそ成り立ったが、それが出来なかったことに落ち度がある。もっと情報を強化し、慎重に動くべきだった。

・安全サイドは経験則上安全であっても、危険性の提示であったことを理解するべきである。もしかしたら?を考えるのが技術者の常ではないだろうか。

・安全サイドの同調組はもう少し自分で調べるクセを付けた方がいいだろう。どこが発信源か、その場所の性質を調べるだけでも損ではないはずである

以上が挙げられる。

トラックバック先:http://anond.hatelabo.jp/20110809173009

Permalink | 記事への反応(2) | 14:28

記事への反応 -
  • http://anond.hatelabo.jp/20110825142857

    Togetter - 「pixiv社長への熱い思い…受けとれ!」 Togetter - 「今ツイッターで流れているPixivのセキュリティ問題関連の情報はどこまで正しいのか?現役プログラマーの見解」 Togetter - 「k...

  • http://anond.hatelabo.jp/20110825142857

    横だけど、この手の人達ってなんですぐ量子論がどうとか言いだしちゃうの?中二なの? 気持ち悪すぎるからやめてほしい。

記事への反応(ブックマークコメント)

人気エントリ

注目エントリ

ログイン ユーザー登録
ようこそ ゲスト さん