-
combatable11
- 9983
- 0
- 3
- 2
-
- いいね!2
Durf
Peter Durfee
@Durf
@ameseys Apparently related to Pixiv (the admin interface was open to the entire interwebs at one point today)
2011-08-08 18:50:48
Peter Durfee
@Durf
Pixiv (social sharing site for illustrators) has been freezing accounts of artists drawing manga critical of the site: http://t.co/Qy7lm2z
2011-08-08 18:56:38
Peter Durfee
@Durf
Today Pixiv users discovered that image URLs contained the poster's login ID; the site has no wrong-password lockdown http://t.co/zZi6fA1
2011-08-08 19:00:49
Peter Durfee
@Durf
People went crazy brute-forcing accounts and found that the site's master admin tool was similarly accessible http://t.co/zZi6fA1
2011-08-08 19:03:49
Peter Durfee
@Durf
Here's some of the hardware Pixiv was hosted on just over a year ago, apparently: http://t.co/EuUspMO
2011-08-08 19:06:10genmai_tea
玄米茶
@genmai_tea
@Unknown_Plus カオスラウンジに直接関係がないので言及は控えていたのですが、私の把握していることと併せて返信致します。
2011-08-09 07:07:29
玄米茶
@genmai_tea
PixivのシステムによるユーザID漏洩とパスロックの未実装(現在実装済)とadminツールについて http://t.co/Ga0EGRU
2011-08-09 07:07:38
玄米茶
@genmai_tea
一つ目は一見表には出ていないように見えるログイン用IDが簡単な手順で外部から確認可能であり、また何回パスワード入力に失敗してもログイン制限が掛からないようであった。現時点では告知無いもののログイン制限機能が導入されている。
2011-08-09 07:08:37
玄米茶
@genmai_tea
二つ目はインターネット経由で接続できない方が望ましい管理用サーバー群のID/パスワード入力画面にアクセス可能であり、話題になった途端次々とアクセスできないようにページが書き換えられているがこちらも運営からの告知が無い。
2011-08-09 07:09:27
玄米茶
@genmai_tea
前者のログイン用IDに関しては一年以上前から一部では有名だったようですね。PixivブログにおいてもPixivでのログイン用IDが見えてしまう仕様であり、つい最近もそれをユーザーから指摘されていますが運営からの返答はまだ無い状況のようです。
2011-08-09 07:10:36
玄米茶
@genmai_tea
ログイン用IDについては、Pixivでは各ユーザーにログイン用IDとは別に登録番号が割り振られているのでわざわざログイン用IDを外部に表示する意味が無いのでは、と以前から話題にはなっていたものの今回の件で広く知れ渡った形になりますね。
2011-08-09 07:12:15
玄米茶
@genmai_tea
危惧されていたのは総当たりによるパスワード解析と、その結果知り得たパスワードと登録された個人情報がweb上の別サービスへのアカウントハックにも繋がるのではないかという点でしょうか。ただ昨日急遽ログイン制限機能が実装されたようです。
2011-08-09 07:14:07
玄米茶
@genmai_tea
後者のID/パスワード入力画面にアクセス可能な件に関してはいつから外部よりアクセス可能だったのかが不明で、最悪を想定するなら既にクラッキングが行われており運営が気づいていないだけという可能性もあるため問題視されているようです。
2011-08-09 07:14:41
玄米茶
@genmai_tea
昨日この件が話題になってまもなく、次々とID/パスワード入力画面にアクセスできなくなるよう対処がなされていて現在はほとんどのサーバーで入力画面へのアクセスができなくなっている模様です。
2011-08-09 07:18:17
玄米茶
@genmai_tea
ただ対処したと見られる入力画面もデフォルトでは「It works!」という画面が表示されるらしいのですが、今回は「It workssl!」というジョーク混じりとも取れるメッセージが表示されているため「本当にPixiv運営による操作なのか」と混乱を招いているようです。
2011-08-09 07:20:01
玄米茶
@genmai_tea
いずれにせよ運営の告知待ちですね。現時点でやれることと言えばweb上の別サービスでPixivと同パスワードを使用しているのであればそれをより強固なものに変え、告知が出るまでPixivへのアクセスを控えるくらいでしょうか。 @Unknown_Plus
2011-08-09 07:20:34
玄米茶
@genmai_tea
今回の件は300万人以上のユーザー情報を抱えていて、話題にもなっているのにも関わらず告知も何も無しに場当たり的に見える対応をしている運営への不信感もあって、これだけ騒がれているのでは無いかと個人的には思います。
2011-08-09 07:21:14
@q4500
@genmai_tea ログイン制限ですが、モバイルサイト上では実装されてない模様です。先程PC、スマホからのアクセス、10回のログインテスト実施しました。
2011-08-09 07:18:45