  |
はてなキーワード: パスワードとは
http://www.paygent.co.jp/payment_service/kind/mobile_carrier/index.html#faq
のようにステップ1「支払い内容の確認」→ステップ2「パスワードを入力」の
手順になっているはずなんだが(私が試したのはPC版Yahoo!モバゲー)
上の書き込みを見るにケータイ版のモバゲータウンのモバコイン購入は「支払い内容の確認」もしくは「パスワードを入力」の
であれば、問題になっているような子供が8万円使っちゃった、ってケースにはならない。
仮に、子供にカードの決済権を委ねているなら、悪いのはゲーム会社じゃなく親だ。
これらのケースで、課金がどうのこうの言うのは、幾らなんでも他人のせいにしすぎだろう。
問題なのはキャリア決済で、しかもゲームではなく提供サイトのポイントを購入するような方式。
公式サイト登録でキャリア決済、1000Pとかパスワード入力もなくボタンだけで購入できて、
アイテムを600Pとかで販売するようなケース。
追記
まさに「モバコイン」はキャリア決済できるなww
84 :名無しさん@お腹いっぱい。:2011/01/06(木) 22:22:49
585 名前:sakurazaka.jpn.ph[] 投稿日:2011/01/06(木) 22:15:17 ID:B05NruFc0
今回のまとめ作ったけど横に長すぎた
・東日本が削除人の作業時のログを見つける。http://be.2ch.net/test/sss/hoop.datとか。
これは誰がいつ削除したかがわかる程度。
・だが、/test/sss/以下の全ファイルリストがApacheの仕様で見れた。
しかもbe鯖のsss/以下にはなぜかcgiが拡張子なしで置かれてた。
元の現在動いてるcgiスクリプトを探し出し、それに対してコマンド実行。
・そのcgiも糞で、パスワードなしで2chの全キャップが入手でき、他にもパスなしで板移転なども可能だった。
ファイル一覧も取得可能だった。
・いろんな人がそれを実行した。板移転もやりたい放題、キャップも全部ばれたのでお止めも自由。
・しかもファイル一覧取得にもバグがあり、そこからOSのコマンドを叩くことも可能。ここで全部のcgiソースを入手可能。
・もちろんこのバグは全鯖共通で持ってるので過去の鯖でも実行可能。どこまでやられたかは不明。
893 名前: 動け動けウゴウゴ2ちゃんねる [sage] 投稿日: 11/01/06 23:16 ID:1JmUtdSc
・東日本が削除人の作業時のログを見つける。http://be.2ch.net/test/sss/hoop.dat
・これは誰がいつ削除したかがわかる程度だが、/test/sss/以下の全ファイルリストがApache設定ミスで閲覧できた。
・しかもbe鯖のsss/以下にはなぜかcgiが拡張子なしで置かれてた。つまりソースが見れる。ファイル名からして2005年から放置。
・それを見つけたモペキチは元の現在動いてるcgiスクリプトを探し出し、それに対してソースを元にコマンド実行。
・そのcgiも糞で、パスワードなしで2chの全キャップが入手でき、他にもパスなしで板移転やファイル一覧取得も可能だった。
・いろんな人がそれを実行した。板移転もやりたい放題、キャップも全部ばれたのでお止めも自由。
・しかもファイル一覧取得にもバグがあり、そこからOSのコマンドを叩くことも可能。全部のcgiソースを入手可能。
・つまりcgiの権限であればウイルス設置からファイル削除も可能。最悪この前のbeみたいに鯖が真っ白になりかけた。
・もちろんこのバグは全鯖共通で持ってるので過去の鯖でも実行可能。どこまでやられたかは不明。
151 名前:動け動けウゴウゴ2ちゃんねる :2011/01/06(木) 23:18:51 ID:XUdh8QWJ0 2BP(1029)
2ちゃんが終われば ●は使えなくなるぜw
152 名前:動け動けウゴウゴ2ちゃんねる :2011/01/06(木) 23:20:38 ID:i/2sgrer0
897 名前: 動け動けウゴウゴ2ちゃんねる [sage] 投稿日: 11/01/06 23:17 ID:1JmUtdSc
まとめ2/2
・FOX ★「わしゃ何も困っていないけど?」ってことで訴える気ゼロで帰った。つまり逮捕はおそらくなし。
・復旧するにはbbs.cgiから全部書き換えることが決定。とりあえず明日以降作り直すことを決めて運営陣解散
結果的にやられたことは
・勝手に板移転。板移転のメッセージを変え放題だったのでそこにグルーポンへ飛ばすコードやらXSSやらウイルスとか突っ込まれた。
・キャップが漏れまくりなので書き込みし放題。現在はキャップは全部停止。
・cgiリストが見れた上キャップパスも出たので削除や芋ほり(ログ開示)もし放題。これも現在読み書き以外のcgi全部停止。
・全鯖に削除や何かするプログラムを置かれた可能性もありうる。導入する時間は十分あったが、入ってないことを祈るだけ。
・今回の犯人はいつものモペキチと東日本、他ROMの人多数。ただ訴える気ゼロなのでほぼ間違いなく逮捕なし。
見てきました
http://anond.hatelabo.jp/20110106232404
http://anond.hatelabo.jp/20110106231708
つまりIPアドレスだけでIDとパスワードを表示しちゃってるから
プロバイダで可変IPアドレスのプロバイダの場合、他人が使ってたIPとかぶった場合他人のIDとパスワードが表示される訳
http://anond.hatelabo.jp/20110101100918
親切に教えてくれてありがとうといいたいところだけれども、もうその移行手続き自体がだるい。
IDとパスワードをいちいち入力させることサイト自体が嫌になりつつある。
ネットセキュリティを心がけてもハッカーとのいたちごっこでキリないし。
各サービスのIDとパスワード(IDとパスは別々)を20個くらい、持っているけど何かしらのサービスを受けるためにはいちいちIDとパスワードと住所氏名年齢性別職業電話番号を登録させるので管理がうっとうしい。そういうサイトはもういいって感じ。Yahoo!とAmazonとtwitterとハンゲームとはてなとピクシブとニコニコ動画と
YouTubeと後ブログ3~4個のIDとパスワードがあればいい。後は整理する。一回のショッピングで終わらせるつもりの中小サイトの為にいちいち別々のIDとパスワード考えるのは時間の無駄。面倒臭いからそういうサイトからはもう買わないことにしてる。
そんなことよりも複数のパスワードの覚え方を教えてくれ。
URLを使って人間が暗算で簡単にハッシュをかけれるのならいいんだが。
どっかの動画投稿サイトの動画ソースをそのまま利用して、コメントつけられるようにしたニコニコの3番煎じぐらいのひまわり動画って知ってる人いる?
なんだかIDつくってログインできるらしいんだけど、そのなんだ…
IDとパスワードが平文でCookieに保存されているの気づいてたか?
でも、パスワード忘れたときのためにってパスワードリマインドの機能があるんだが…
http://himado.in/?mode=forgetname
こえー、マジこえー。
まぁ、いいんだけど。
え?他のサイトと同じにしてる?
いやいや、そんなに信用しちゃっていいの?
XSSやCSRFで漏えいとか以前に、自分のIDとパスワードを他のサイトで入力されてるかもしれないぞ!
こえー、マジこえー。
なにが言いたいかというと
つい先日まで、とある大学サークルの主催するイベントに参加していました。
複数回出席することで面接などのスキルを磨いていこうというものでした。
私自身はそのサークルのメンバーではないのですけど、参加していたということで、
(なぜか迷惑メール扱いになっていて、気づくのが遅れたのですが、ここでは特には触れません。)
イベント中に撮影した写真をスライドショーにした動画の貼ってあるページに到着しました。
パスワードなしで。
事前の説明もなく、私を含む他人の写真を大量に使っておきながら、
第三者からも閲覧できる状態にしてあることに。
驚くべき点はそれだけではありません。
正直呆れました。
著作権くらい知っているでしょうに。
文句を言うのは簡単ですけど、もうその気力すら起こりそうにもありません。
もう呆れに呆れて、いっそのこともう関わりたくないなあなんて思ってしまいます。
先日、来年度はスタッフとして参加してくれますかと訊かれたので、
ひとまず「参加します」とは言ったけど、もう参加しそうにありません。
なんだかやるせないです。
そろそろこどもでもつくろうかなと思いこども相談センターに行った。
まずは与信審査のようなものがあり、本当に支払い能力があるのかチェックされる。
それが終わるとIDとパスワードが発行されるので、センターの端末だけではなく自宅からもサイトにログインして、登録された数万人の女性を選ぶことができる。
はじめは写真やプロフィールをひとつひとつ見て決めようと思ったのだが、プロフィールには年齢や血液型だけではなく、生い立ちから遺伝子解析結果まで載っているので、すべてを見るのはむずかしい。
そのため条件を入れてフィルタリングしてくれる検索や、こちらのパーソナルデータから適合度の高い女性をリストアップしてくれるマッチングなどを活用することになる。
結局、遺伝子の相性がいちばんいい相手を選ぶことにした。相手が決まるとセンターに精子を提出して終わり。後は10ヶ月後くらいに子どもが生まれ、センターが英才教育を施してくれるので、定期的に送られてくる映像を見るくらいだ。
自分で子どもを引き取るセンターもあるにはあるのだが、あまり評判は良くない。
男性が引き取ると養育費は浮くので安く済むのだがベビーシッターや保育所を活用してもやはり仕事の関係で上手くいかないことが多く、女性が引き取ってもひとり分の養育費だけでは足りないと次々に出産して種違いの兄弟が増えることでひとりひとりの教育が疎かになることが多い。
そのためセンター自体が教育を受け持つところがでてきた。平均年収、経歴、犯罪率の低さ。センターごとの追跡調査を見てみれば教育施設を持つセンターの有意差は一目瞭然だった。現在では教育施設を持つセンターが主流であり、このセンターもそのひとつだ。
そのおかげか、センター設立当初によく言われたこと、親権やこどもの人権に関する諸問題、あるいは人身売買の一種であるという批判もほとんどなくなった。
形式的に見てみればお見合い結婚したふたりがこどもを寄宿舎に入れるのとほとんど変わらない。男性の方だけにではなく、女性の方にも定期的にこどもの成長は送られてくる。今では相手の女性に同じ親としての親近感も抱いているほどだ。
独身と比べて大いに優遇される税制のためにこどもを作る人もたくさんいるらしいが、私は親になることのすばらしさという点でおすすめしたい。こどもを持つということはやはり良いことだ。すくすくと育っていくこどもの映像を見るたびにしみじみとそう思う。この充実した満足感は何ものにも代え難いものであると、そう思うのだ。
で、Webサービスの成功例ってやつをいったい何例ぐらいみているんだい?
企業SEといっても、100人に99人は、企業SEを名乗っているだけのキーパンチャーだろ。当然そいつらは除外するんだろ?
すくなくとも100人に一人から1000人に一人ぐらいのいわゆるエースと呼ばれるやつだけが、いわゆる企業SEだよなぁ?
そいつらは、金のことは気にするし、人のことも気にするが・・・要件定義は自分で暇なときに作ったプロトタイプでするようなタイプだぞ?
100人に99人のほうは、失敗するというか、キーパンチャーなんだからSEに数えたらだめだろ。
年収1000万声のフリーランスでブイブイいわせているやつだって、実際は、割のいい仕事を割りよく請けているだけで
新規サービスを立ち上げられるやつなんてマレだぞ・・・?
なんかこう、カーボーイなのってるけど・・・99人のほうよりはできるけど・・・実際はプロの仕事知らないだけで・・・ってやつが多くてそれこそウンザリするよ。実際。パスワードを平分で保存していたりする奴もいるぐらいだし。
話がそれたけど、結局、肩書きで話すんな。100人に一人の奴が迷惑するから。
5、6年ほど前。まだ、Youtubeやニコニコ動画もなかった時代。2chのとある女性歌手のスレで、私は"神"と呼ばれていた。
P2Pから拾ったファイルや自分で録画していたファイルをアップローダーに上げて、それを2chのスレで告知して、ダウンロードを促して。
当時その歌手は活動休止も同然の状態で、スレ住人は「動く彼女」に飢えていた。P2Pを使わ(え)ない人も多く、私はいたく歓迎された。
同じように動画のアップをする2、3人とともに、私は「神」と呼ばれた。
時にダウンロードパスワードをひねったものにし、時にアップローダー(こくれん、とかあった)を指す隠語に工夫を凝らし。
自己顕示欲を満たせ、感謝の気持ちを注いでもらえる。当時学生で、学校にもろくに行かず暇を持て余していた私の、格好の遊びであった。
ただの転載屋のような存在にも関わらず、その暇さゆえのハイペースなアップからか、スレタイに私に関する言葉が付記されるようにもなった。
半年ほど、その状態は続く。ネタはあくまでも小出しにし、もてはやされ、私の鼻っ柱は伸び続けた。
私生活が少々充実しだし、以前のようにアップを繰り返すわけにもいかなくなった私は、次第にそのスレから足を遠ざけていった。
じきに女性歌手も活動を活発にしだし、Youtubeが開設され皆そこを利用するようになり、スレッドも過疎化が始まった。
それでもごくごく数人の画質/音質を求める住人と、過去の栄光にしがみつく私のような存在とで何とかスレッドはまわっていたが、
私はファイル保管用に使っていた外付けHDDが壊れてしまったことで、完全にそのスレッドとは縁が切れてしまった。
先日、久々にそのスレッドを見に行ったら、ものの見事に存在していなかった。私が当時アップしていた動画は、ニコニコ動画やYoutubeにアップされていた。
2chのスレに張り付きアップロードを待ち望み、パスワードを入力しても「あと50秒してから再試行してください」などのメッセージが表示され、それを何度となく繰り返し、ようやくダウンロード。
500Mのファイルを5つに分割したものを、ろだをまわって必死こいてダウンロードして璃樹無で結合して……。もうそんなこともない。
もはや一人の神にありがたみを感じる時代ではなく、みんながアップロード者側に立ち、ダウンロード側は「検索したらそこにある」ことが当然のものとしてコンテンツを利用する。
というメールが届いた。
「ドットコムで発生しましたネットショップ会員のID・パスワードの不正利用
の事案について、お客様には多大なるご迷惑、ご心配をお掛けいたし
「今般、第三者機関によるセキュリティ診断によりドットコムサイトの安全
性が確認されましたので11月24日の午後2時をもちましてサイトを再開
させていただく予定でございます。」
ほんで、パスワードは念のため全員変えましたということが書いてあるのだけれど
「会員の皆様には大変ご迷惑をおかけいたしますが、今回ご案内させて
いただきました新しいアクセスパスワードにてご利用をお願いします。
パスワード:xxxxxxxxxxxx」
と来たもんだ!
そんなことやってるから不正利用されちゃうんじゃないの??
http://anond.hatelabo.jp/20101108213204
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。
あのに 増田 様
ID:12345678
パスワード:mypassword
このたびは当社にプレエントリーを行って頂きまして、
誠にありがとうございました。
こんなメールが届いたの。
なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。
「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。
同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。
とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。
恐怖はこれで終わらずに2ヶ月後。こんなメールが。
あのに 増田 様
ID:12345678
パスワード:newP@sSw0rd
このたびは当社にプレエントリーを行って頂きまして、
誠にありがとうございました。
「newP@sSw0rd」は変更し直したパスワード。
なんで平文メールにパスワード書いて送ってくるの?馬鹿なの?阿呆なの?死ぬの?
もうあきらめてそのまま寝ました。
さらに1ヶ月後。
あのに 増田 様
ID:12345678
パスワード:newP@sSw0rd
このたびは当社にプレエントリーを行って頂きまして、
誠にありがとうございました。
問題点を2点挙げると
SQL Injectionとかで漏れたら終わりってことだよね。
正直な話、中の人間も信用できない。
JR東海だけの問題なら良かったんだけど、同じような企業が本当にいっぱいあってびっくり。
ちょっと調べてみるとこのシステムはdisc.co.jpってところの製品みたい 。
「株式会社ディスコ」だって。
axol.jp:「株式会社 毎日コミュニケーションズ」
こんな糞システムで食ってる奴らまじでしねばいいのに 。
というのが2年前の話。JR東海はリク面で落ちました。爆発しろ。
院生になって東京電力にエントリーしたところまた同じようにパスワードが送られてきたのでこんなエントリを書いた次第。
マイミクに聞いて集めた平文メールにパスワードを書いて送ってくる糞企業一覧(仮パスワードを送ってくるだけの会社は除いてるよ!)
ほかにもいっぱいあるみたい。
そして怖いのは
https://saiyo.axol.jp/12/s/ibm/entry/agreement
https://nttdata.saiyo.jp/newgraduates/
もうやだこの業界。たとえメールは送ってこなくてもハッシュ化は期待できないよね。
暇な人はsite:axol.jpあたりでぐぐればいいとおもうよ。
東京電力とかディスコとかに届け出ると選考で不利になりそうだし
IPAに届け出てもまともに取り合ってくれそうにないし、ぼくがちくったってばらしそうだし。
id:HiromitsuTakagiとかid:otsuneとかid:Hamachiya2とかが取り上げてくれないかなー
追記(11月9日22:26)
川崎重工がまた送ってきたから腹を立てながらブコメに返信してみる
id:taqpan これは酷い。とりあえずここに挙がっている企業はまともな情シス部門が無いか、安いってだけで人事部が糞SIerに丸投げするような体質か
NTTデータとかIBMとかが糞SIerに丸投げしてるあたりがまたなんとも
id:MarriageTheorem id:HiromitsuTakagiさんとid:Hamachiya2さんのどちらが取り上げるかで後の展開が540度ぐらい変わるような気がするんだけど、このお二人を並列に置いてよいものか
あー。そうですよね。この問題の解決にぼくは何が出来るでしょうか・・・
何故か、今頃になって流行り始めているfacebookを始めてみた。
登録自体は、たぶん2008年とか、そのへんにやっていたんだけど、誰も知り合いがいないし、居ても誰も使っていないから、まあ登録してあっただけの状態。
Twitterが不調になったときに、なぜかみんなfacebookを始めているようだったから、「たぶん登録したよなー」と思いながらログインフォームで何度かユーザ名とパスワードを入力してみたらあっさりログインできた。
すでにどこからか嗅ぎ付けてきたTwitterのフォロアーの人達が、自分のアカウントに対して友達申請をしていたのでいそいそと承認作業をした。
長らく使っていなくてそもそもの原型を覚えていないんだけど、facebookのデザインとかUIがかわったらしい。いいね!が簡単におせるとか、左下のポップアップがリアルタイムに出てきて楽しい、みたいなブログの記事をいくつか読んだ。
Twitterでいうwho to follow的な機能から、Twitterの知り合いを大勢友達申請したり、設定項目をいじったり、なんかfacebookで一通り遊んでみた。
でも友達が増えてきてから、すこし疲れてきた。
というのも、誰かがコメントを書いたり、誰かが「いいね!」を押したり、友達申請が受理されたり、なんかいろいろな事象で左下からヒョコヒョコなにかが出てくる。
Twitter感覚で発言する。いつものTwitterなら10ポストに1つくらいリプライがある程度で、本当につぶやきをしているだけだったんだけど、その感覚でfacebookをやると即座に「いいね!」される。
「いいね!」されると、左下にポップアップが出てきて、なんだろうとクリックする。
ページ遷移してる間にまた違う人が「いいね!」をする、左下が消えない。左上にもなんか1とか2とか未読ですよ、と通知してくる。左上を少しクリックして、その表示を消す。
Twitterなら書き捨てていただけの発言が、facebookだと反応が即座に返ってくるために何アクションも起こして確認したり、未読の数字を消したりしないといけない。
たしかに反応が返ってきて楽しいというのはある。facebookのページを表示させたらたぶん何時間でもfacebookで遊んでいられる。
だけど、そのせいで疲れてしまうんだ。私には、Twitterぐらいの「ユルさ」が丁度良かったのかもしれない。
いちいち左下に反応するなよとか、未読の数とか無視しとけ、とかいわれるかもしれないけど(設定で止められるのかもしれないけど)、もう疲れてしまったんだ。
みんな、facebookはほどほどにね。
このバージョンから今ま
でのBasic認証から、OAuth認証という認証方式になりました。TwitterのBasic認証が2010年春くらいから非推奨になるそうなので。
具体的には、ファイルの中にユーザー名やパスワードを直接書くのではなく、このサイトからTwitterのサイトへ張っているリンクをたどって、Twitterのサイトに認証してもらって、それで発行されたキー(文字列)を保存して、ファイルに書き込んでもらう、という手順を取ることになります。
ちょっと手順としては面倒だけど、今までの方式より安全だし、Twitterを投稿したときに表示されるクライアント名(「webより」などの部分)を変更できるというメリットがあります。
すでにOAuth認証用のキーを持っている人は、そのキーをそのまま使うことができます。
setting.phpに書いてある$consumer_key、$consumer_secret、$access_tokenと$access_token_secretの4つのキーを、自分で取得したものに入れ替えてください。
自分で独自のOAuth認証用アプリを作れば、つぶやきの「送信元」を自由に変更することができます。詳しくはPHP+OAuthでTwitter - SDN Projectなどを参照してください。
まだOAuth認証キーを持っていない方は、ここで取得することができます。その場合、つぶやきの「送信元」は「EasyBotter」になります。
以下のリンク先の指示に従って、OAuth用のキーを取得してください。
なんだよwwwそれだけかよwww
最初からそう言った方がはえぇじゃねぇかよwww
理解するのにずらずらずらと言葉をかさねなきいけない比喩ってなんだよwww
なんのために比喩にするかわかってねぇじゃねぇか。
この安全性の差を、ekkenみたいな馬鹿にも理解できるよう説明するのに
いいか?んじゃんまekkenが馬鹿だとしようや。で、おまえは馬鹿にも理解できるように説明しようと、比喩を持ち出したんだろ?
んでその説明に何日、何行、何回誰とやり取りするはめになったんだよwww
馬鹿に理解させることができてねぇんだからお前の落ち度だろwww
どうかな?(キリッ
じゃねぇよwww
相手がどうだろうが、相手に理解させようとして持ち出した以上、それができなかったんだからお前の比喩は意味を成してねぇんだよ。
http://anond.hatelabo.jp/20100908184459
こっちは「twitterとはてぶの安全性の差とかけまして、パスワードの文字数の違いと解きます。その心は?」って言ってるようなもんなのに
なんで馬鹿に「理解できるよう説明する」はずだったのに、謎かけになってんだよwww
おかしいだろwww
お前、誰かに何かを理解させようと説明するときに、いきなり謎かけすんのかよwww
説明に失敗したのを人のせいかよwww
いいか、そもそもお前の発言には「攻撃者」がどっちなのかがはっきりしねぇ。
はてブってのは、単独じゃ成り立たないブクマ・言及ツールだ。だからこそ一般的にブクマした側が攻撃側とみなされる。
お前が言ってんのはそうじゃなく、ブクマされた方が「反撃」をした場合、もしくはその元ブクマの攻撃が的外れだった場合に、第三者が「攻撃」した場合だろ。
「実名ブログ」「匿名ブログ」「実名twitter」「匿名twitter」「実名はてブ」「匿名はてブ」で攻撃者が相手に攻撃を届かせるまでに必要な手間
じゃねぇんだよ。
「実名ブログ」「匿名ブログ」「実名twitter」「匿名twitter」「実名はてブ」「匿名はてブ」に"対して"攻撃者が相手に攻撃を届かせるまでに必要な手間
だろうが。
んで、「手間」っていうシステムを問題にするんだってなら実名・匿名が関係ねぇだろ。おおもとの発言で言えば、「実名ブログ≫匿名ブログ」の部分がなりたたねぇ。
実名なら電凸等の「リアル攻撃」も可能だ、っていうネットのシステムから離れて言うなら、今度は「実名ブログ≫匿名ブログ≒twitter」が成り立たねぇ。
実名Twitterと実名ブログがイコールになるからな。(もちろん実名はてブもだ)
「実名ブログ≫匿名ブログ≒twitter≫はてぶ」の安全性の差ってのはよ、「手間の問題」だけじゃ説明できねぇんだよ。
だから「パスワードの文字数」っつーたとえがよ、「攻撃に手間をかけさせるほど安全性は増す」だっていうなら、その比喩は説明として不適当だ。
比較してみるといいよ
じゃねぇよwww
お前は比較してみたのかよwww
