PixivのシステムによるユーザID漏洩とパスロックの未実装(現在実装済)とadminツールについて

kanidon @kanidon

@q4500 @KENXY 暇なクラッカーが一人やってきたら完全死亡する状態ですよね、そんなひどい事する人は居ないと思いますけどね、おそらく、たぶん、まぁちょっとは覚悟しておけ

高橋 けんじ @KENXY

ボクが気づいてる仕様の欠陥合わせると、パスがわかった時点でそのユーザーの信用を落とす以上に、運営の信用をガタガタに出来るから致命的なんですけどねー、まして今の状況だと。あらぬ疑いをかけられるのも嫌だから、リスク犯して運営さんに説明する気は無いですが。 うっうー！ζ(´▽｀)ζ

しまはるき @shimaharuki

みんなも知ってることと思うけど一応呟いておくとこのことは1年以上前というか当初から指摘のあったことで　僕が言い出したことではないしましてや僕がセキュリティホール作ったわけでもないのであしからず

高橋 けんじ @KENXY

性善説で運営するのは、狼の居る森で防護策なしで羊飼っている様なものですからねー。飼い主によほど強い宗教観があるのか、お伽話に出てくる馬鹿か、どちらかですかねー。どんな御託も御宣託も狼に晒される羊には良い迷惑だけど。 うっうー！ζ(´▽｀)ζ

しまはるき @shimaharuki

日本の法律では勿論アカウント乗っ取りは摘発対象だけど　PIXIVって海外ユーザーも沢山居るよね？

コスモ @cosmo__

@q4500 え、ほんとですか！脆弱性になり得ますよね…。対策出来ないものでしょうか…

piyo @hoge_20

pixivでアカウントハック横行　乗っ取られた垢がランキング入の腐向け絵に大量の中傷コメント - ゴールデンタイムズ http://t.co/9OqdhXW

@q4500

@cosmo__ 知ってて放置してます。過去に通報があった模様。おそらくシステムの再構築が金かかるすぇいでしょう。低俗すぎますね。絶対に許せないですよね。

高橋 けんじ @KENXY

時々食べやすく切って狼に渡しますヽ(´▽｀)ノ RT @mass0525: どっかの運営さん 「無料でどんどん柵に入ってくる羊が襲われようが痛がろうと知ったこっちゃねえですな」（´ー｀)y─┛~~ ﾎｯﾄｲﾀﾗﾏﾀﾊｴﾃｸﾙｼﾅｰ

タイピング練習中 @shwalz2

@cosmo__ @q4500 とりあえず心配ならユーザーが側でパスワードをわかりにくくする（解析しにくくする）のに加えて定期的に変更を加える、というのができる最善手のような気がします。WEB上にパスワード作製ツールがあるので心配ならば使ってみてもいいかもしれませんよ。

コスモ @cosmo__

@q4500 プログラムの再構築が必要でしょうね。ログイン管理するサーバーがサーバーのルートノードになっているとしたらサービスの一時的なメンテナンスが必要でしょうし。

@q4500

@cosmo__ 通常の企業ならするんでしょうが、pixivは普通じゃないので。お金以外どうでもいいんでしょうねー。きたねぇ。

@q4500

@budweiser4136 多分余裕。時間はかかるだろうけどロックされないからね…。海外とかからやられたらどーすんだ。海外ユーザいるからIP規制も難しいし詰んだか？#pixiv

高橋 けんじ @KENXY

牧場経営語ってる人間が、まともな柵も作れない、羊の取り扱いすらまともにご存じないとしたら、まあ、いろいろ、でます。 うっうー！ζ(´▽｀)ζ

土井ヴぃ / J.C.クリエイツ@C101土ユ-40a @vivit_jc

pixivのセキュリティのpostがRTされまくってるけどベンチャーで作られてるサービスどころか大企業でやってるサービスもアレなことが結構あるので今更そんなことで騒いでも、というか知らなかったの、というか。ついったなんかログインIDフルオープンだぜ。

👑王👑 @yutoriou

話題になりましたので…　pixivのログインIDが画像に埋め込まれておりますねー…　定期的に色んなところで言われてた気はするけど、　画像開いてソース見れば一発という仕様…

@q4500

@vivit_jc パスワードロック機能がないのが問題ですよ。 通常何度か失敗した場合ロックされる機能は入れてるんで。

高橋 けんじ @KENXY

ぅわぁ、残ってた…。 うっうー！ζ(´▽｀)ζ

シダ（不愉快なお前の隣人） @s_i_d_a

ソース内にアカウントIDの文字列があるのは確認。あとはパスワードに関するセキュリティだけど、力業の総当たりにすら対応してないっていうのはちょっと危ういなあ。なんだか最近のpixivは困った話題が多いですね。 http://ux.nu/GjAZu6

しおしおクリフジ @canary_kurifuzi

@yutoriou スタックフィードとかpixivブログのURLの末尾もログインIDっすね、あれはどうかと思いましたね

@q4500

@KENXY うっうー！うっうー！

👑王👑 @yutoriou

@canary_kurifuzi 全く…　いやせっかくID晒さずにできる仕組みにしてたんだからなんかなあ…

👑王👑 @yutoriou

スタックフィードやpixivBlogの末尾がそのまんまログインIDなのか…

piyo @hoge_20

IDの表示を「仕様」としているなら、「漏洩」ではなくなるのですが、pixiv運営の見解が公表されていないのでなんとも言えないですね。

piyo @hoge_20

第9条　登録メールアドレス、ID及びパスワードの管理等 3.登録メールアドレス、パスワード及びIDが第三者に利用されたことによって生じた損害等につきましては、当社はいかなる責任も負いません http://t.co/8BPJq4y #pixiv