セキュアでなくても事故が起こらなければいいSFC武田教授とFB良品の問題点を叩いている人たちとの議論
- yousukezan
- 15278
- 0
- 12
- 8
人物憎しで書くとこうなってることよくある。「事実と異なる内容を佐賀新聞ブログ論壇「ばってんがサイト」に掲載してしまい、関係各位にご迷惑をおかけいたしました。」抗議いただいた件の事実確認について(ばってんがサイト事務局) http://t.co/q8sWOZ1t
2012-12-29 17:34:44@keijitakeda 情報が与えられない状況の中で不安を感じた場合、「人物差し」以外に計る方法は無いような気がします。まあ、必要な情報は再掲されたので良いですが。 http://t.co/uWbIarLn
2012-12-29 17:43:01海外の通販とかクレジットカード番号をメールで送れとか言ってきてそんなんでセキュリティーがーとかいうのも大人気ないのでそのまま送ってる。
2012-12-29 21:56:38「人物憎しで書くとこうなってることよくある。」https://t.co/73qh77dY 高木浩光氏憎しでどうなってるかは存じませんが、そういったご自身の体験談に基づいて、勝手に井上一夫氏もそうなのだと決め付けるのはよくありませんね。
2012-12-30 13:44:44https://t.co/Tqqd6bmN 「セキュアでなくても事故がおこらなければいい」とは、セキュリティの研究者としての職を放棄したと等しいと思う。世間がなんのために生産的とは決して思えないセキュリティ対策などしているのか、それを全否定しかねない。
2012-12-30 14:11:11昨日の「人物憎しで書くとこうなってることよくある。」と書いたのはなんらかの意図を持って想像(思う)や可能性(がある)などの論調でネガティブな記事を書くと実際の話とは関係なくあたかもそれが事実のように周囲に認知されさらにネガテイブな論調につながるという状況について述べました。
2012-12-30 17:49:15https://t.co/VA8LM3qb これは一体どういう意味なのだろう。運転に例えると、たまたま事故が起こらなかった危険運転者より、運悪く事故に巻き込まれた安全運転者のほうがダメだという意味なのでしょうか。
2012-12-30 20:46:29FB良品の中間者攻撃の実証実験、現在運用されてるサイトで実際に中間者攻撃を食らうとどうなるか、が分かるので、そういう意味でも面白いです(笑)→http://t.co/XNREcrf8
2012-12-30 23:46:29@rocaz 振り上げた手をおろせないなら叩ききってあげよう、と言う訳で、実際に使えるPoCを作ってみましたw 暇があればどぞ。http://t.co/XNREcrf8
2012-12-31 00:43:39@keijitakeda 情報公開も不十分な中検証を一つずつ行っていくと、 あまりにも計画が杜撰なためあれもこれもネガティブな状況に至ってしまい、あたかも「人物憎しで書かれたものとネガティブな解釈がなされてしまう」ことがあることに、武雄市界隈の問題で知ることができました。
2012-12-31 02:42:20こんな状況じゃあ、ただ面倒なことになるだけだから武雄市図書館の話題に触れたくなくなっちゃうよなぁ。ポジティブでもネガティブでも。
2012-12-31 07:38:32端的に申し上げれば、https://t.co/8SoTQh6z で行われていることは、当の本人が https://t.co/PIbyERuT で書いていた「意識的な情報操作」以外のなにものでもありませんが、恐怖は感じていないのでしょうね。
2012-12-31 07:57:47@keijitakeda あれ以上やると、法律に引っかかるような気がしてマス。一番問題無さそうで簡単な方法を選んだだけです。さすがに勝手にhostsとかDNS Resolverを書き換えるexeファイルはマズイかなぁと。手動での方法だと出来る人が限られますし。
2012-12-31 10:16:53@keijitakeda 生産性の維持を言い訳に場当たりや後追いの対策に終始してはいけないと思いますし、武雄市界隈の問題はそれ以前の既知で初歩的な問題と見受けられます。
2012-12-31 10:18:03@keijitakeda セキュリティホールを突くPoCってどこまで作っても良いモノなのか、かなり難しい気がしています。気をつけないとウイルス作成罪やら不正アクセス何とかやらの法律の壁と、営業妨害とかの民事系の問題も含まれる可能性がありますし……。
2012-12-31 10:20:19@keijitakeda 0-day使ってごにょると警察がすっとんでくると思いますし…。ウイルスならhosts位書き換えられるじゃろ?という前提で、そこを明示的にユーザーに操作して貰うことで、意図しない挙動では無いようにしています。その部分がPoCとして微妙というのは同意です
2012-12-31 10:25:06@ityuki 確かに難しい問題ですね。意味がわかっている人が手動で行うのが確実かと思いますが、batプログラムが何をしているのかまたそれが、現実のどういう脅威を想定して再現しているのかの説明があるとより丁寧かと思いました。
2012-12-31 10:28:13@ityuki hostsを書き換えられるぐらいのマルウェアへの感染が前提となるならFB良品に限らずSSLが適切に運用されていても被害が防げないような気がします。想定としてはDNSポイゾニングとかになるんでしょうかね。フィッシングだったらアカウントそのまま持っていけそうですし。
2012-12-31 10:33:29@ityuki 現実的に考えられる脅威としては無線LANアクセスポイントの成り済ましなどが行われ任意のIPにDNSが振られた場合にSSLのアドレス欄でのサイトの真正性が確認できないというようなことでしょうかね。
2012-12-31 10:39:07