librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/28昼ぐらい-9/29昼ハイライト
-
- いいね!0
上原 哲太郎/Tetsu. Uehara
@tetsutalow
http://bit.ly/b46aYh これみても図書館は「官公庁」の仕事と思われてない QT @biac: MDIS組織図 http://tinyurl.com/2567oc9 MELIL/CSは、そことは別のITソリューション部(一番下のほう)が担当 #librahack
2010-09-25 15:16:27
上原 哲太郎/Tetsu. Uehara
@tetsutalow
そう信じたいです いくらなんでもこれはない QT @biac: なのでMELIL/CSはCMMI5の対象ではないだろうと思えてきた QT @tetsutalow:http://bit.ly/b46aYh これみても図書館は「官公庁」の仕事と思われてない #librahack
2010-09-25 15:35:06
MAEDA Katsuyuki
@keikuma
@kozawa 確認した限りでは、電話番号、メールアドレス、生年月日、パスワードといった情報がPowerMISTYで「可逆暗号化」されて、格納されているみたいですね。そして、その鍵は当然だけど公開サーバに置いてあると。 #LibraHack
2010-09-25 16:04:10
MAEDA Katsuyuki
@keikuma
@dechnostick それに似た黒い話が某所であってですね。入札仕様書に「パスワードは暗号化して格納すること」とあったために、ハッシュ使っている製品が落とされたという。 #LibraHack
2010-09-25 16:07:37
上原 哲太郎/Tetsu. Uehara
@tetsutalow
その辺はややこしくて、PowerMISTYはライブラリ名であって必ずしもMISTY1で暗号化してるわけじゃないのですよ… QT @dechnostick: #librahack MISTYは新たに導入するところでは使うべきでな http://bit.ly/bQx1oF (PDF)
2010-09-25 16:13:00
上原 哲太郎/Tetsu. Uehara
@tetsutalow
PowerMISTYの現行版にはAESやCamelliaが実装されててそちらも選べます。でも逆にいうとDESなんかも使えちゃう。だからコード見ないと暗号の使い方が適切かどうかはわかりません。 参考:http://bit.ly/ddxXP0 #librahack
2010-09-25 16:18:55
MAEDA Katsuyuki
@keikuma
@Vipper_The_NEET それ、そこの図書館の分だったら、個人情報の漏洩はなかったがウソだし、よその図書館の分だったら、個人情報を安易に取り扱った挙句漏洩させたという話ですね。どっちにしろひどい話。 #LibraHack
2010-09-25 16:15:11
上原 哲太郎/Tetsu. Uehara
@tetsutalow
もちろんです。そこをもっと住民が怒らないとだめだと思うのです。図書館だけじゃない、自治体のIT調達全般に見られるムダ使いは、箱物と違って住民に見えにくいので理解されてませんが、大きな社会問題 QT @gutei: #librahack だからと言って税金ジャブジャブ無駄遣いは…
2010-09-25 16:24:28
上原 哲太郎/Tetsu. Uehara
@tetsutalow
いやでも例えAESだろうがサーバ内に鍵がゴロンと落ちてりゃBASE64と大差ないです。 QT @dechnostick: なるほど。色々選べるようですね。 http://j.mp/bVI4yQ (PDF) BASE64でない事を祈ります。 #librahack
2010-09-25 16:27:22
上原 哲太郎/Tetsu. Uehara
@tetsutalow
暗号化と符号化とハッシュの違いを理解してない技術者がITゼネコン階層の最底辺には… QT @dechnostick: #librahack ふつう、暗号化/復号といえばencrypt/decryptで、encode/decodeといったらBASE64とかそういった類ですよね。
2010-09-25 16:39:21
たりき
@Vipper_The_NEET
@gutei AnonymousFTPで漏れた中にプレーンテキストで。 QT: mdb?ftpの中にあった?読めるの?暗号化無し? RT @Vipper_The_NEET: 泣きそう。延べ363件の個人情報があった。
2010-09-25 16:44:10
上原 哲太郎/Tetsu. Uehara
@tetsutalow
無知を責める気はないのですが、学習し向上することによって収入が素直に増えるような業界構造を作っていかないと末端技術者の底上げは難しい。やっぱりここでも、評価システムの不備がどうしても気になる。でも妙案はないので途方に暮れる。私に出来るのはITゼネコンをdisることくらいだ。
2010-09-25 16:45:16
上原 哲太郎/Tetsu. Uehara
@tetsutalow
鬱入りました(;_;) QT @nsysdesign: @tetsutalow #Librahack 「最」は要らないかもしれませんよ...
2010-09-25 16:48:01
MAEDA Katsuyuki
@keikuma
@Vipper_The_NEET それは面倒ですね。えびの市に漏れてるんじゃない?ってお手紙書くところから始めないといけないですね。
2010-09-25 16:51:09
上原 哲太郎/Tetsu. Uehara
@tetsutalow
zoneファイルを数行編集してン十万円とか簡単なお仕事ですね! QT @rakugodesi: 某教委でシステム更新時に一時レンサバ使用。自己ドメイン使用はDNS変更と復元に高額見積がDNS管理のSIer(レンサバ業者ではない)からきたため諦めた実例あり。 #librahack
2010-09-25 16:53:29
上原 哲太郎/Tetsu. Uehara
@tetsutalow
他にも、パッケージにない機能のためSEの手作業にン十万いただきますとかやってるそうなのでヒアリングしてみたら、どう考えてもDBにクエリ1発投げてCSVにするだけの簡単なお仕事だったり…無知をいいことにどんだけ吸ってんだと。自治体内みてるとそんなんばっかし。 #librahack
2010-09-25 17:01:51
たりき
@Vipper_The_NEET
PowerMISTY関連のDLLみつからない。PowerMELILってのは居たけど何かの単純なラッパでしかないみたい。関数名の変換程度の役割しかしてない。
2010-09-25 19:05:40
MAEDA Katsuyuki
@keikuma
@dechnostick 「ハッシュでも良いのではないか」と主張したところ、ハッシュでは登録されたパスワードと異なるパスワードを入力したにも関わらず、一致したと判定される可能性を否定できないからダメだと言われて、指定文字数での衝突可能性をレポートした記憶が。 #LibraHack
2010-09-25 20:43:12
上原 哲太郎/Tetsu. Uehara
@tetsutalow
この話思い出したhttp://bit.ly/bodPw8 QT @keikuma: 「ハッシュでも良いのではないか」と主張したところ、ハッシュでは登録されたパスワードと異なるパスワードを入力したにも関わらず、一致したと判定される可能性を否定できないから… #LibraHack
2010-09-25 21:03:33
Hiromitsu Takagi
@HiromitsuTakagi
これか http://www.nbu.ac.jp/robots.txt RT @dellganov …Baiduと国会図書館のクローラだけを拒否している日本文理大学などの例… #librahack
2010-09-26 04:04:20
Hiromitsu Takagi
@HiromitsuTakagi
それ200だったんですかね。404のを見てたりしてないのかな。@dellganov …設置していてもそれが誤っているウェブサイトもあった。まず、robots.txtにREPではなくエラーメッセージ等の書かれたHTMLページを返すものが59件… #librahack
2010-09-26 04:06:49