  |
はてなキーワード: セキュリティーホールとは
【独自】北朝鮮技術者、日本のスマホアプリ開発…自治体防災アプリなど7件の業務請け負う(読売新聞オンライン) - Yahoo!ニュース
https://b.hatena.ne.jp/entry/s/news.yahoo.co.jp/articles/8ec9cb389e26bf6101a774fc4fe2b85beb1aff16
むしろ北朝鮮の優秀なハッカーよりもたちの悪いコードを埋め込む可能性あるから気をつけろ。
優秀なハッカーなら表向きは問題なく動くように作るが、国内のスキルの低いエンジニアだとセキュリティーホールはもちろん通常用途にも使えない不安定なコード生み出すぞ。
天然物にはかなわんよ。
徹底的に単純化、抽象化することで、馬鹿でも分かるようにしてメンテナンス性を上げるとか、(もちろんドキュメントはちゃんと書け
技術者の本懐だと思うんだけど、無暗に複雑化したい、見栄えを良くしたいという考え方がまったく理解できない
そもそも、お役所関係の仕事ってフリーランスでもみんな避けたい案件で、
一度作ったら保守とか改善をしたがらないし、それはお金の決め方が民間と違うからそうなるわけで、
逆に、余ったから道路工事みたいに予算消化に協力してよみたいになって寧ろバグやセキュリティーホールを埋め込んだりとか、
予算がないならないで公務員に勝手にいじられて無茶苦茶にされたりとか、
Google Mapsなんかも公的なサイトとか企業とかはGoogleにお金払わないと使えないわけだけど、
それも決められた予算内でだったり、稟議の遅さとか、普通のお客とは大きく異なるわけで、
あと、なんか政府も含めて、DXだのカッコイイ表現をしたがったり、ナウでヤングな開発スタイルやるぜ!みたいなノリだったり、
そういうの止めた方が絶対にいいと思う
そんなの当たり前じゃん、馬鹿なんじゃないの?と思われるぐらい単純化、抽象化するのが論理的思考の基本中の基本であって、
そこまで落とし込んでもいないのに、余計なことをするもんではないと思う
手書きのHTMLが温かみがあるwみたいに馬鹿にする輩がいるが、
元の文章はMarkdownなりはてな記法なりで書いて、静的HTMLに変換して、基本的なCSSで充分見栄えも良くなる
というか、マイナンバーカードを申請しても返信がずっと来ないので、さっきまで国のマイナンバーカードのページを眺めていたのだけど、
「文言が下手」「文章が冗長」「同じことを繰り返し書いてないか?」「FAQが読みづらいレベル」
という感じで、これ住んでる県とか市のWebもそうなんだけど、もっと端的にズバッて書けるんじゃないの?
デジタル庁の採用ページも必要ないエフェクトとかアホかと思ったが、文言も駄目、やりなおしレベルだと思う
思うけど、なんかポエム書く人の方が出世したりする世の中だったりするのでウンザリする
要は、その上のオッサンや老人を感動させなければいけないみたいな圧力に従った方が出世したりするわけだけど、
まあ、ティム・バーナーズ=リーとかだったら最近はどういう意見を言うのか、JavaScriptアリアリでしょと言うのか、
単純なテキストを相互に通信するのが基本だから、みたいに言うのか興味はあるけど
いずれにせよ、公的案件を普通の案件と同じに考えると痛い目に遭うし、
デジタル庁ではそういうのはやめて、モダーンでナウでヤングにバカウケな開発スタイルでやるぜ!
とか正反対に全力疾走されても不安になるんで、そういうのはやめてくださいとしか思えない
個人的には、こういうことを言うとまた馬鹿にする輩が出てくるんだろうけど、
jQueryみたいなのちょっと添えるぐらいで、それでもJavaScript切っても動作するように書けるわけだし、
とにかく、最新最近のやり方じゃないとか馬鹿にされても、余計なことをしない、
そうすることで仕事量を減らす、
基本的にJavaScriptがなければ成立しないようなページを国が必要にするようには思えない、
フォームで充分なわけで、寧ろレガシー寄りで5年10年、下手すると20年安定することを考えるべき
一方ロシアは鉛筆を、Intelではなく並列処理させたZ80を使った、
みたいにローテクでも確実に長期に動作させることを考えるべきだと思う
JavaScriptのフレームワークの流行り廃れが変わる度に無駄な税金を使われてたまるか、
という気もする
…
なんかトラブルになったときNuxt.jsのソース読まないと困ることってないの?
Lodashだったか何だったか、ちょっと失念してしまったのだけど、
動作がおかしかったのでソース読んで、時間をかけて間違いを発見して、
報告とかプルリクしようと思ったらタイミングの差で修正されてたこととか思い出すんだけど、
中国は国家公務員としてサイバー攻撃を含むハッカーが高給で雇われているわけで、
隅から隅までLinuxなり、敵国から盗んだ技術なり、戦場で墜落したドローンとか戦闘機を拾ってきたり、ワリャーグとかそうだし、
徹底してリエンジニアリングさせると思う、自分にはそういう優れた技術力はないけど
もちろん、そうやってリエンジニアリングした組み込みOSなり、
そういった知見から独自のリアルタイムOSを開発するなりして、
それをミサイルなり戦闘機のアビオニクスなりに応用していくわけだ
(というか、最近の組み込みOS界隈とか中国も含めて熱いように思ってる
だから、最近のAWSとかを中心にした開発だと当てはまらないけど、
例えばApacheとかNGINXとかだったら、本来はそのソースもくまなく読むべきだと思う
使用しているユーザーが多いから、エコシステムが機能しているから、セキュリティーも安全だろう、
みたいな発想は国のシステムや軍需産業では相応しくないように思う
まあ、だからといってミッションクリティカルなシステムにしろとかまでは思わないが、
w3mで読めるように作ってもバチは当たらないというか、
最近のネタで言うなら、シンエヴァがちょっと盛り上がってたわけだけど、
庵野さんが、オネアミスは足し算、エヴァは引き算で作った、みたいに言ってた気がするけど、
この徹底した引き算って凄い大事な考え方だと思うんだよなあ
もちろん、テレビ版のエヴァは徹底的に引き算してもあの様になってしまったわけだけどw
徹底した足し算から、徹底した引き算に移行した、というのは凄く良い意味で理系的発想だと思う
(でも噂から想像されるシンエヴァは徹底した引き算でもなさそうなので家で観るつもりだけど
あと、神エクセルとか誕生するのも、結局は庵野さんとかの言う徹底した引き算、
上っ面じゃなくてちゃんとわかっている人教えてください。
▼モバイル版「Flash Player」の開発中止をどう見る?
http://japan.cnet.com/panel/35010348/300015677/
▼Adobeはなぜ失敗したか, Flash-Playerの敗退は歴史の必然だった
http://jp.techcrunch.com/archives/20111109why-adobe-failed/
今後来るhtml5をもてはやす必要もなく、
で“既に代替されている”
html5厨の中にはこのあたりごっちゃにして歓迎してるやつが多数いる
くどいけど、その他の機能はjsとかcssとかhtml5周辺の独自仕様で
解決してることが多いからな!
普通にhtml5が覇権取るにはオーサリングツールがいるんだぞ。
全部含んでるんだ。
html5が現状見えてるのは、
までだ。
「描画系の機能でflash(flex sdk)同等の仕様を用意することになるだろう」
ってだけじゃ劣化flashすぎんだろ。
あとadobe終わったっていってるやつ、
それを一社じゃなくブラウザつくってる各社が実装するんだからな・・・
お前らがflash嫌ってるのと同じ問題が発生して、
flash殺すのはいいけど、html5を中心とした代替環境できんのに何年かかるんだよ。
あと、リッチインターフェース作るのに、いつまでもなんのサポートも受けれないような
jsライブラリ組み合わせて、必死にカスタマイズとデバッグしなきゃいけないのかよ!
業務系のuxデザインつくっていくのに、flex使おうか、html&css中心で行こうか悩んでんだ。
誰か何かアドバイスくれよ…
flexは良いところが多くて工数も減るし、どこかでadobeの5オーサリングツールに乗り換えられるだろうから
普通のweb屋としては、htmlとjsで苦戦しながらも自己責任でスクリプトチマチマいじってる方が、
他にもこの中途半端な状況に困ってる奴いるだろ!
岡田容疑者はホリプロでウェブの管理などを担当。ファイルはサイバーエージェントの内部文書で、同社の女性社員が岡田容疑者に業務メールを送る際、誤って添付したという。「お年玉」画像は1月1日午前1時1分1秒に出現するよう設定されていた。
1 そもそもアメブロがIDとパスワードとEXCELなんかで管理していた。しかも、ハッシュ化していない。
2 それを誤って、業務関係者に送付
3 誤送付された相手が悪用
パスワードを平文で管理すればこう言う事故はおきるべくして起きるって話ですが
それをEXCELで管理した挙句、普通の業務に使う人が持っている挙句、誤送付とか・・・
そもそも、管理用にパスとIDが必要なら、システムに管理者アカウントを作って、専用のIDとパスで入ると本人でなくても編集できるようにすれば済む話なのに、
流出経路が判明すればするほど、どうして、そんなセキュリティーホール(ワークフロー上の)を残しておいたと言うか、わざわざ意図的に作ったのか意味不明。
これ、芸能人以外の一般アカウントも別途一覧とかもってないよねぇ?
あなたの会社も、パスワードを平文で保存すべきと言っている人の名前をちゃんとメールか何かの文章で残しておきましょう。
悪いのは、誤送付というミスをしたひとではありません。ミスしたときに平文のパスワードが流出するようなシステムを作った人、EXCELを作った人です。
2048Bitの暗号?っていうけど、文字数になおすと256文字。打ち込むの大変だろう・・・・
大半が自動生成のソルトで残り8文字ぐらいがパスワードだとしても、ソルトの部分には非表示可能文字を入れることもできるから、複合後が完全に乱数で手がかりなし。どうやって解読するんだと。
バイトしてたから、ソルト知ってる?バイトにソルト教えるなよw。
そもそも、パスワード作るときは、n文字目とm文字目を混ぜて暗号化とかやっていくので、1文字だけ間違えるなどは無理。間違えるとしたら複数文字セットで間違えることになる。んーあれは解読ミスじゃなくて、タイプミスか。
とりあえず、2048Bitの暗号?なら256文字セットで一気にわかるはず=でないと当たり外れが判定できない。なので、1文字入力して考えとかない。もしそれができたら高々8Bitしか鍵長がない。
そもそも、パスワードは 不可逆関数であって暗号化ではないので、元には戻せない。戻せるとしたらそれ、セキュリティーホールじゃね?しかも、それを画面に表示とかすげー、セキュリティーホールじゃね?
誰でも思うことだろうけど、いや、うん。OZのシステムは、そんなに危険なのにどんだけ初歩的なセキュリティホールを抱えてるんだ?
そして、そもそも論として、鍵のハッシュ後の値を知ってるなら、自分でプルートフォースかけた方がはやくねーか?ラブマシーン。いや、それがダメなりゆうは小説読んでるから知ってるけどwww。それにしても、どう考えても、そこは、プルートフォースw
そして、そもそも、コンソールからrootでログインすればいんじゃね?
世界の端っこの方で愛を探すプログラマ0.999はそう思いました。こんにちは増田の皆さん。サマーウォーズどうでした・・・って冬だし。
>金とってもやっていけるというほうが幻想だったんじゃないかと。
金はらわなくても使えるというほうが幻想だったんじゃないかと。
>それはすぐにはならないだけで実際にはlinuxでもfirefoxでもシェアは増えてる。
>逆に有料化じゃないとやってけないなら、なぜフリーウェアのシェアが下がらないのか説明つかないでしょ。
linuxでもfirefoxも会社から資金提供されてますよ?その会社が無くなったらどうなるかな?
その規模のソフトが資金提供も無く、無料だなんてありえないんです。
>オープンソースの開発やめてもソフトが使えなくなってしまうわけじゃないから。
セキュリティーホールもそのまんまなソフトなんて使ってられませんな。
>それにパソコン関連機器はどんどん値下がりしてるわけでますますそれほど費用がかからなくなってる。
>だからほんの少しの広告や寄付だけで維持可能になってしまう。
ほんの少しでって、そんな訳ないでしょ…優秀なソフトは相当費用がかかってます。
あなたが知らないだけです。
>「ブログ」を金払って読みたい人はほとんどいないんじゃないかと。
>金払わないとキーワードやぶ米見せないよといってどれだけの人が払うのかと。
なんでブログを「読む人」からお金取るって話になるの?そんな話してないし不自然でしょそれ。
ブログを「書いてる人」がサーバーレンタル代としてお金取られると解釈するのが普通でしょ。
>見なくても別に困るわけでもないのに。動画ならサーバー代もすごいだろうけど文字列だけの掲示板やブログならたいしたことないんだし。
>SNS会社が潰れたら、知人とのやり取りはメールで済ませるようになるだけだろうし、もともとウェブに公開する意義があまりない。
まぁ、ご勝手に。
お金払えない人は、そうすれば良いんじゃない?
