はてなキーワード: パスワードとは
だったらそれを明らかにすればよい。
自分でなにもかもやるんじゃなくて、第三者の手を借りればよい。
知人友人ではなく、まったくの赤の他人。できれば全国展開しているような規模の大きいところ。
(コンプライアンスの関係でそういうところは縛りが多い)
パソコン関係だけ言ってみると、
パソコンだけ、ネットワークだけ、と五月雨式にやっても意味がない。
弱いところから入り込まれる。一度に一気に全部やるのが鉄則。
ルータは正しく設定すれば外と隔離できる。(原理的に外から入り込めない)
ルータには強固なパスワードかけて他からアクセスできないように。
無線LANなんて危ないものはやめて、すべて有線でつなげ。
パソコンにはバックドアを仕掛けられないように、すべて初期化。できればデータもすべて捨て。
結構苦労したので健忘録として。。
環境は以下のとおり
yum install mysql-server
/etc/init.d/mysqld start
mysql_secure_installation
jruby -S gem install rails jruby -S gem install warbler jruby -S gem install activerecord-jdbc-adapter jruby -S gem install activerecord-jdbcmysql-adapter jruby -S gem install jdbc-mysql
mysql -u root -p mysql> create database redmine character set utf8; mysql> grant all privileges on redmine.* to 'redmine'@'localhost' identified by 'redmine'; mysql> exit
(任意の場所にRedmineを解凍して、解凍先のディレクトリに移動した後)
cp config/database.yml.example config/database.yml vi config/database.yml
database.yml
production: adapter: jdbcmysql database: redmine host: localhost username: redmine password: redmine encoding: utf8 #development: # # #test: # #
後のwarbleでのエラーを防ぐため、developmentとtestをコメントアウト
jruby -S rake generate_session_store jruby -S rake db:migrate RAILS_ENV=production jruby -S rake load_default_data RAILS_ENV=production
script/serverで起動し、http://localhost:3000 にアクセスして正常に動作するか確認する
jruby script/server -e production
vi config/environments/production.rb config.logger = Logger.new(config.log_path) config.logger.level = Logger::INFO
warble.rbを生成
jruby -S warble config
warble.rbを修正
vi config/warble.rb config.dirs = %w(app config lib log vendor tmp extra files lang) config.gems = ["jdbc-mysql", "activerecord-jdbcmysql-adapter", "activerecord-jdbc-adapter"] config.gems["rails"] = "2.3.5" config.gems["rack"] = "1.0.1" config.webxml.rails.env = "production"
jruby -S warble
できたwarファイルをTomcatに配置して、Tomcatを起動する
mv redmine-0.9.3.war /usr/local/tomcat/webapps/redmine.war /usr/local/tomcat/bin/startup.sh
warblerのバグ(?)でwarに入らないファイルをコピーして入れる
cp vendor/gems/rubytree-0.5.2/.specification /usr/local/tomcat/webapps/redmine/WEB-INF/vendor/gems/rubytree-0.5.2
某社だけでなく、本当にギリギリです。
合い見積もりという概念が無く、どこの会社も技術力に疑問のある小さいベンダーを変えることなく、新しい技術をサービスに取り込んでいけない、といったところです。
またシス担もWindowsの知識しかない人間がほとんどのようです。
以下、秋葉原界隈で聞いた噂と実際に起きたことなど列挙。(特定の1社ではない)
以上は昔の話ではなく、ここ数年の話。
おわかりいただけただろうか。
>結局たいして儲からないからまともな業者は参加しないだけなのでは?
ところが、相場から考えたらびっくりする額を支払っています。
うん。だからそれ以前の問題だと再三再四いってる。
ネタ追いかけたりGoogleさんの動きとかは見たけど・・・本当にひどい。
他人のパスワードで全員の情報が引っこ抜けてるんだから、もう、パスワードの意味がないw。
パスワードをEXCELで一覧保存も酷かったが、それよりも酷いセキュリティ問題があるとは正直思っていなかったけど・・・
とりあえず、ここ10年ぐらいの顧客情報流出騒ぎでは、ワースト1ランクなんじゃないか?
たとえるなら、都会の一軒家で玄関に鍵をかけず、開けっ放しで外出した挙句、金庫の鍵が居間に出ていて横に金庫の番号がメモしてありました。
こんな感じ。
気がついたら、ホールとか、気がついたらワームとか、気がついたらトロイ
ってのは、この業界 少なくないからさ、それ自身は 仕方が無いと思うんだよ。
事故はしょうがない。
でもなぁ、
ウイルスだったら、ウイルス対策ソフトを入れてるかどうかは、事故なのか過失なのかの大きな分岐点になるよな。
今回みたいなサービスだったら、セキュリティーの試験をしたかどうか?は、事故なのか過失なのかの大きな分岐点になると思うんだよ。
で、どう考えても、これ、まともには試験されてない。
なんだろうな、チェックリスト作ればいいのかね?
最低限このぐらいは・・・リスト
>パスワードを平文で保存しない
保存する場合は、特別な手段をとらないと社員でもパスワードを読めないようにする。
保存する場合は、ユーザーに電子的な手段でパスワードを回答しない。かならず、受取人指定の郵送とする。
ユーザーのパスワードが必要な場合は、無人システムに投入する等する
ただ一般的には、住所氏名電話番号生年月日で代用することがほとんど
>パスワードを暗号化する場合は、暗号化ではなくハッシュ化する。
暗号化とハッシュ化の違いが分からないなら、勉強させる。知らない人間を担当者にしてはいけない。
GETのパスワードはログに残るため。ログからパスワードが流出する
ユーザーの代わりに管理者アカウントでその操作を行い、だれが、いつ、その操作を行ったかはシステムで記録する
よく管理者アカウントが1つでだれだか操作したわからないというシステムがあるがナンセンス。
かならず、いつ、だれが、というのはシステムで明確にログを取る。
>URLの後ろに、ユーザー毎 取引毎 セション毎のランダムなセッションキーが付いていると良い
COOKIEも併用すること。URLはキャッシュ等の対策のため
>セッションキーを他のユーザーの物に変えてログイン出来ないことを十回以上は確認する
又は、何らかの理由でセッションキーのみでログインする場合は、十分に長い文字数にすること。
数字を1つ2つ変えても他人のログがみられないように、十分にセッションキー同士を離れさせ
機械的に、総当たりでログインが試みられて場合検出して遮断する機能を入れること。
遮断装置が無いのに、セッションキーのみでのログインは、ガードしていないのと同じ。
>ユーザー パスワードを適当に変えて、他のユーザー名で同一パスワード などの組み合わせが通らない事を10組み以上は確認する。
>一定時間以上操作がない場合は、自動ログアウトする機能をつける
漫画喫茶など対策
>クレジットカードなど課金情報は同一サーバーに持たない。可能な限り記憶しない
残念だけど、SQLインジェクションとか、セッションキーのコリジョンとかだったら、まだわかるが・・・
URLをちょっと変えただけで他人のデーターがみえちゃいますとか、どんだけだよ。
残念だが、この業界でプロを名乗るなら、このレベルは、知っている範囲で、あきらかな過失だよ。
サービスするんだから、専門家を雇えよ。当たり前だが、作る業者と検査する業者は別にしろよ。知らないんだったら。
何回も言ってるけど、今回の被害者は情報漏洩された人たちで、加害者はあくまで、サービス主体のPCソフト販売業者。
僕もだまされたんです、知りませんてのは、普通は・・・情状酌量の余地はあるけど・・・、
責任をとるのはあくまでも、PCソフト販売業者。PCソフト販売業者が別途制作会社を訴えるかどうかはそら、PCソフト販売業者の話で、ユーザーには関係ない。
つか、メールベースのシステムなら問題なかったのに、知識もなく、予算もなく、ツテもなく、Web化してコケたんだろ・・・どんだけだよ。
データーはログインして、セッションを持ちましょうとか、本にも初歩として書いてあるだろうと。さすがに、このレベルは酷いよ。
程度の問題だよ、程度の問題。
他にもパスワード平文で保存して流出とか svnのバックアップをサーバーにあげて流出とか パスワードをEXCELで保存して流出とか
そりゃあ、普通のサイトは「ログインIDやパスワードをURLに埋め込んだりしない」から
しかしなぁ、
世の中には、パスワード一覧をEXCELファイルで作っちゃって、まちがってメールで関連先に送付しちゃって大問題っていう
それでいて、操業停止になるくらい、ユーザーが離れるわけでもないんだぜ?
そりゃぁ、セキュリティーなんて向上しないし、みんな無視するよなぁ
安かろう悪かろうで、そういう業者に発注するからそういうことになるんだが・・・
真面目にセキュリティーに取り組んでる奴がバカをみる・・・
嫌な時代だよな。
ちなみにな・・・
http://mag.wb-i.net/2010_04_02.html
対処策が・・・
1.metaタグの挿入(noindex,nofollow,noarchive)
2.USER_AGENTよるSpiderの排除
なんつーかな。
そもそも、セッション持って、外部から見られないように対策すべきであって、クロールされなきゃ良いって問題じゃないと思うんだが?
それにmetaタグよりrobots.txt使えば早いのに・・・とか、突っ込みどころ満載。
これを無しで販売したそのマインドがすばらしいし
それを購入した方のマインドもすらばらいい。
起きるべくして起きた事件としかいいようがない。
つーか、こんな初歩の初歩にひっかかるようじゃ、
真面目な攻撃食らったら簡単に個人情報吐き出しそうだな・・・このプログラム。
SQLインジェクションに感染したりして・・・w
アレクサのプラグインとかOrbitのプラグインとか、URLだけなら、外出ししそうなものは山ほどあるだろと?
プラグイン含めてURL履歴外出しを疑い始めたらキリがないよ。
あとは、それでリストが出来て、そのリストをGoogleが再利用したとか。
つーか、Blogとかやっていて、Botsみれば、Botsがどんだけヘビーにクロールしてくるかってのはよく知ってるはず。
バイドーとかMSNとか嫌というほど、変なURLでもクロールしてくるし。
企業内でアレクサとかOrbitやSkypeあとはその手のプラグイン使う方がよほど問題だ。
OrbitやSkypeなんて、P2PのためにFWに穴あけてくるから、設定がザルだと社内ネット破られるんだよアレ。
で、結局、一番はFWを固くしろと。それ以外で企業のFWは守れないし、XXは使うなっていって、使うのが0になった試しなんて無いから期待しねーよ。
だから、ちゃんとFW固くできる奴を雇えよ大企業はって話かと。
一番考えられるのはURLをメーラーからコピペして検索しただろ。
Cheromeは窓が1つなので、起きやすいのは事実だがな
インターネットをローカルな使い方をしたい人が、検索とかリンクを嫌がるのは、むしろ自然な感情だと思うし、ちょっと話の次元が違う気がする。パスワードをかけると不便なことも多いから、検索とかリンクから人が入ってくるのを止めることで、程よいローカルさを保ちたいんだろう。それはそれで、尊重しても良い話だと思うよ。
「インターネットに公開している以上は、世界中からのアクセスを受け入れるべきだ! 検索避けだとかリンクを嫌がることは罪だ!」的な主張をする人もいるけど、インターネットの使い方なんて人それぞれで良いと思うしね。
まあ、外の喫茶店で話をするような感覚なんじゃないかな。屋外で話している以上、喫茶店にいる限られた人に聞こえてしまうのはみんな構わないけど、だからといってその話をネットで全世界にまで公開されたら嫌がるっしょ。
メイドいんジャパンからぶっこ抜いた構造に、昨日映画館で見た、「誰かが私にキスをした」から連想したものをぶち込んだらこうなった。不自然なところをこれから直していく。
(身体的な前提)
償いが存在する。
神酒薫(ミキ カオリ)が視点浮動者として存在する。高校二年生の女子。視点浮動者は、自分がどの視点から物事を見るか、どの記憶から物事をデコードするかを決められないでいる。
視点を決定すると、通常ならば、その視点向けのコマーシャル(=企業が配給する良質のドラマ)を見ることができるのだが、学校から支給されたモバイルを使っている神酒薫は、コマーシャルを見ることができない。だから、視点を決定するインセンティブがない。
他人からの視線を気にすることが存在する。
(本編)
神酒薫は他人からの視点を気にせずに生きることを求める。タイムラインに、他人が発言した自分の振るまいが蓄積されるので、自分の振るまいが正しいかどうかがひどく気になる。視点を決定している人たちは、自分の視界内の発言しか見る余裕がないので、他人の視点というものを気にしない。
視点を決定しなければならないという切迫感が存在する。
神酒薫は視点を決定しなければならないという切迫感を取り除くことを求める。
キキを持っていることで、神酒薫は視点浮動者であることを隠す。電子デバイスに興味があるんだというフリができる。
津島修一は、同じ中学校だった男の子。神酒薫にキキをくれたのは、津島修一だった。卒業式の日に、神酒薫を好きだと言って、その贈り物だとしてキキをくれた。津島修一が勝手に、神酒薫のモバイルにインストールしてしまったので、神酒薫はキキをアンインストールする方法を知らない。それに、日本語を喋る存在をアンインストールすることは、殺しと同じことに思えてしまい、できない。自分に自信を持てていない神酒薫は、彼からの告白を何かの悪いいたずらだと思い、津島修一とは連絡を取っていない。しかし、津島修一と神酒薫は同じ高校に通っているのだ。ときどき廊下ですれ違うと、気まずい。
神酒薫は他人からの視線を気にすることを取り除くことを求める。
電子アシスタントは他人からの視線を気にすることを取り除く手段になるように見受けられる。
神酒薫が他人からの視線を気にすることを取り除くことは失敗する。電子アシスタントは他人からの視線を気にすることを取り除く手段たりえなかった。
「曖昧な記憶は、記憶は不確かなものだという認識を視点浮動者が得る手段になる」
伊庭瑠璃のアシスタント(=天使の羽)が存在する。それがきっかけとなり、伊庭瑠璃が存在する。それがきっかけとなり、キキに刻まれた津島の記憶が存在する。それがきっかけとなり、神酒が津島と付き合っていたという噂が存在する。
神酒が津島と付き合っていたという噂は、神酒薫が他人からの視点を気にせずに生きることを得ることを阻む。
神酒薫は神酒が津島と付き合っていたという噂を取り除くことを求める。
キキに刻まれた津島の記憶は神酒薫が神酒が津島と付き合っていたという噂を取り除くことを阻む。
キキへのコマンドのパスワードは神酒薫がキキに刻まれた津島の記憶を取り除く手段になるように見受けられる。
神酒薫がキキに刻まれた津島の記憶を取り除くことは失敗する。キキへのコマンドのパスワードは、神酒薫がキキに刻まれた津島の記憶を取り除く手段にはならず、むしろそれを阻んだ。
「記憶は不確かなものだという認識は神酒薫が神酒が津島と付き合っていたという噂を取り除く手段になる」
視点浮動者として存在する神酒薫は、記憶は不確かなものだという認識を求める。
曖昧な記憶は、神酒薫が記憶は不確かなものだという認識を得る手段となる。
神酒薫は曖昧な記憶によって、記憶は不確かなものだという認識を得た。
記憶は不確かなものだという認識は神酒薫が神酒が津島と付き合っていたという噂を取り除く手段となる。
神酒薫は記憶は不確かなものだという認識によって、神酒が津島と付き合っていたという噂を取り除く。
「読解の文脈を変えられないことは伊庭瑠璃が津島修一からの自由を得ることを阻む」
津島の記憶の外部化は津島修一が伊庭瑠璃からの自立を得ることを阻む。
「伊庭が記憶を外部化していないことは津島修一が津島の記憶の外部化を取り除くことを助ける」らしい。
曖昧な記憶が存在する。それがきっかけとなり、伊庭が記憶を外部化していないことが存在する。
伊庭が記憶を外部化していないことは津島修一が津島の記憶の外部化を取り除く手段になるように見受けられる。
曖昧な記憶が存在することがきっかけとなり、記憶の流動性の低さが存在する。
記憶の流動性の低さが存在することがきっかけとなり、読解の文脈を変えられないことが存在する。
読解の文脈を変えられないことは伊庭瑠璃が津島修一からの自由を得ることを阻む。それがきっかけとなり、変えられない事実が存在する。
変えられない事実は伊庭瑠璃が津島修一からの自由を得ることを阻む。
神酒薫は変えられない事実を取り除くことを求める。
時間の一回性は、神酒薫が変えられない事実を取り除くことを阻む。
償いは神酒薫が変えられない事実を取り除くことの手段となる。
変えられない事実が存在し、伊庭瑠璃が視点浮動者として存在することがきっかけとなり、記憶がないと、全てを信じざるを得ないことが存在する。
記憶がないと、全てを信じざるを得ないことが存在することがきっかけとなり、神酒薫が変えられない事実を取り除く手段であった償いは取り除かれる。
記憶がないと、全てを信じざるを得ないことがきっかけとなり、「津島くんは、私を好きだったんじゃなかったの?」という神酒薫の発言が存在する。
「津島くんは、私を好きだったんじゃなかったの?」という神酒薫の発言は神酒薫が変えられない事実を取り除くことを助ける。
神酒薫は時間の一回性を取り除くことを求める。
「愛してる」ではどうにもならないことが存在する。
「愛してる」ではどうにもならないことは神酒薫が時間の一回性を取り除くことの手段となる。
「おまえの視点は確定的じゃなかったのか」が存在する。
天使の翼が「愛してる」ではどうにもならないことを取り除くことを求める。
「おまえの視点は確定的じゃなかったのか」は天使の翼が「愛してる」ではどうにもならないことを取り除く手段となる
天使の翼が「愛してる」ではどうにもならないことを取り除くことは成功する。
電子アシスタントは、神酒薫が時間の一回性を取り除く手段になる。
電子アシスタントに含まれるキキは、天使の翼が電子アシスタントを取り除く手段になる。
伊庭瑠璃は、「神酒薫が他人からの視点を気にせずに生きることを得たこと」を求める。
「津島くんは、私を好きだったんじゃなかったの?」という神酒薫の発言は、伊庭瑠璃が「神酒薫が他人からの視点を気にせずに生きることを得たこと」を得ることを阻む。
伊庭瑠璃は「津島くんは、私を好きだったんじゃなかったの?」という神酒薫の発言を取り除くことを求める。
神酒薫が視点浮動者として存在することは、伊庭瑠璃が「津島くんは、私を好きだったんじゃなかったの?」という神酒薫の発言を取り除くことを阻む。
天使の翼は「津島くんは、私を好きだったんじゃなかったの?」という神酒薫の発言を取り除くことを求める。
「津島修一が伊庭瑠璃からの自立を求めることは、天使の翼が「津島くんは、私を好きだったんじゃなかったの?」という神酒薫の発言を取り除く手段になる」らしい。
津島修一が伊庭瑠璃からの自立を求めることは、天使の翼が「津島くんは、私を好きだったんじゃなかったの?」という神酒薫の発言を取り除く手段になるように見受けられる。
「俺を忘れろ」という津島の発言は、神酒薫が変えられない事実を取り除く手段になるように見受けられる。
「俺を忘れろ」という津島の発言と伊庭が記憶を外部化していないことがともに存在していることが原因となり、神酒薫が変えられない事実を取り除くことは失敗する。「俺を忘れろ」という津島の発言は神酒薫が変えられない事実を取り除く手段とはならなかった。
「津島くんは、私を好きだったんじゃなかったの?」という神酒薫の発言が存在することがきっかけとなり、モバイルがなくても覚えていることと神酒がすでに過去を振り切っていることが存在する。
モバイルがなくても覚えていることは、神酒薫が視点を決定しなければならないという切迫感を取り除く手段となる。
神酒がすでに過去を振り切っていることは、神酒薫が他人からの視点を気にせずに生きることを得る手段となる。
なかなかはまったので記録を残す。
ただしこの情報が役に立つ人は
という人だけです。
Biglobe ID とパスワードを用意して出かけましょう。
今回、下記のシチュエーション。
出発前、iPhone を持っているから公衆無線 LAN が使えると誤認していた。
iPhone は iPhone, PC はプロバイダによって利用可能なことが試行錯誤中に判明。
何も苦労せず。
購入時に届いていた SMS/MMS の「公衆無線LANし放題」情報により、BBモバイルポイントへあっさりログイン。
かなり苦戦したがまとめ。
まず一応気になるところ、利用料金について。
Biglobe + BBモバイルポイントでは二種類選べて、
自分は従量制で十分。
料金詳細こちら:http://mobile.biglobe.ne.jp/wifi/bbryokin.html
1. Biglobe のサイトで WEP キー確認してメモ。開通時に紙に書かれていたようか気もするようなしないような。
https://member7.biglobe.ne.jp/cgi-bin/bbmp/check_form.cgi
http://join.biglobe.ne.jp/musen/bbmobile/osx.html
単にアクセスポイント "mobilepoint" を選択し、WEPキー入れるだけ
3. ブラウザ立ち上げてネットに接続しようとすると、BBモバイルポイントの認証ページが出る。一瞬びびるがひるまない。
@biglobe.ne.jp を入力しなければならないのが罠。オンラインHELPのどこにも書かれていないぞ。
繋がると快適です。
岡田容疑者はホリプロでウェブの管理などを担当。ファイルはサイバーエージェントの内部文書で、同社の女性社員が岡田容疑者に業務メールを送る際、誤って添付したという。「お年玉」画像は1月1日午前1時1分1秒に出現するよう設定されていた。
1 そもそもアメブロがIDとパスワードとEXCELなんかで管理していた。しかも、ハッシュ化していない。
2 それを誤って、業務関係者に送付
3 誤送付された相手が悪用
パスワードを平文で管理すればこう言う事故はおきるべくして起きるって話ですが
それをEXCELで管理した挙句、普通の業務に使う人が持っている挙句、誤送付とか・・・
そもそも、管理用にパスとIDが必要なら、システムに管理者アカウントを作って、専用のIDとパスで入ると本人でなくても編集できるようにすれば済む話なのに、
流出経路が判明すればするほど、どうして、そんなセキュリティーホール(ワークフロー上の)を残しておいたと言うか、わざわざ意図的に作ったのか意味不明。
これ、芸能人以外の一般アカウントも別途一覧とかもってないよねぇ?
あなたの会社も、パスワードを平文で保存すべきと言っている人の名前をちゃんとメールか何かの文章で残しておきましょう。
悪いのは、誤送付というミスをしたひとではありません。ミスしたときに平文のパスワードが流出するようなシステムを作った人、EXCELを作った人です。
http://blog.livedoor.jp/nipotan/archives/19009730.html
Twitterを使ったドラマを来月やるらしいが、脚本家は自分のアカウントのパスワード忘れてつぶやけなくなってたりするし。
http://gigazine.net/index.php?/news/comments/20090527_rakuten_csv/
10円で販売というのは、システムを悪意に取っているが、特定業者にはCSV形式で個人情報がDLできるようになっていたことと
http://japan.cnet.com/news/sec/story/0,2000056024,20085874,00.htm
などがあるものの、基本的にmixi本体による騒動はなし。
パスワードも平文を送ってくるなどという事は無し
DeNA : http://www.security-next.com/004849.html
モバゲー事態はセキュリティというよりも、青少年育成の観点から問題視される
はてな:有名どころではDoCoMoなどもモバイルのURLをそのまま出したために
セッションハイジャックされた件などが記憶に新しい。
悪徳商法マニアクスが悪徳商法関連の記事を書いたところ、営業妨害としてはてながクレームをもらい
GREE:ウォッチしてないので、知らんw
いずれにしろ、mixi GREE DeNAなどは、いわゆる非技術者向けサービスのためにフィッシング詐欺が憂慮されるが、
あまり、フィッシング詐欺(マンインミドル含む)にたいして強固とは言えないのではないか?という疑惑はある。
Yahooや銀行はコレに対抗するためにセキュリティーシールなどを導入している。が、やはり、マンインミドルにたいして
安全かどうかは疑問。
つか、銀行でも、行員による使い込みなどは、たまに起きるし、セキュリティーってなに?って気はする。