別に僕はこのパスワードお漏らしした会社と縁もゆかりもないけど
こういうパスワード平文のままにしちゃうサービス残っちゃうのは、よくあると思う。
まあ似たような事例ってことで、こんなことがあった。
仮にお漏らしした会社と同じパスワード平文で保存してたとする。
現場の人もわかっている。
「そろそろハッシュして保存したほうがいいんじゃないですか?」って言っても、伝えられるのはその会社の末端の人で
上に情報がいくにつれて重要度も下がって偉い人に伝わったか、もしかしたら伝わってなかった。
または偉い人に「それしてどれくらいペイできる?」とか得しないと後回し的思考で、その会社の人達の中で重要度も下がって、なあなあになる。
現場の別会社の人はそこまで義理もないし、言っても何も起きないので言うのもやめちゃう
きっと偉い人は人工知能とかIoTにはご熱心かもしれないが、あまり泥臭いセキュリティには関心がなく、コストと思っているところがあり、誰も言わなくなった。
これは僕の周りでのあるあるネタなんで、
「ハッシュ化してないなんて信じらんない」っていう信じられない世界は現実にあるということを伝えたい
お漏らしし事例が直近で2つあったね。
「パスワード問い合わせ」機能つけようとすると、そうせざるを得ないんだよね…>パスワード保存 勿論、他は「パスワード再設定」機能で置き換えようとするんだけど。素人さんには...
そんな10年前の理屈を出してごねるなよ
勝手に再設定したパスワード教えればいいんじゃないの?気に入らなきゃ、本人が変えればいいんだし…
あとアップデートを怠ったシステムとかね。 こういうのは管理者や経営者を刑務所にぶち込めるようにしないと根絶できない。
現代のまともなフレームワーク使ってりゃ勝手にやってくれるところだから気にしたことないわ
流出したのはパスワードじゃなくてアクセストークンだけどな。 アクセストークンだけだと、それに紐づくコンシューマーキーがないと使えないはずなんだけど、そこはどうなんだろう...
宅ふぁいる便の話とPeing質問箱の話が混ざってるような
もっとヤバいやつがあったのか…。
もっとヤバいやつがあったのか…。
学校で平文の話何回も聞いたけど未だに理解できない
平文で保存っていうのは「masuda1234」っていう文章をそのまま保存場所に入れること。 そうするとそのまま保存されているファイルがみられたら「masuda1234」って文字が見れてしまうので...
ハッシュ値について説明しようと思うたびに2chのトリップ機能がもっとメジャーになってれば説明が楽なのにって思う
一部の馬鹿がトリップに任意の文字列を出すとかいう逆方向の事やってるせいでハッシュ化とはいったいぐぬぬってなってる
それこそが Proof Of Work の源流
ハッシュド・ポテトよりも、生のポテトの方がいいんじゃないか?
経営判断に必要なリスクの大きさを言わないのが悪い