高木浩光先生のスレッド Part16

1 名前：仕様書無しさん mailto:hoge [2006/10/24(火) 22:11:21 ] ttp://ised.glocom.jp/ised/00041030 |高木浩光（以下、高木）： |　スラッシュドットですか？　えーと、2chにも詳しいんですけどね（笑）。 ある時はMLでDQNとバトルし、ある時はRFIDマンセーな日経BPのｱﾌｫ記事に噛み付き、またある時はオレオレ証明書を使ってる自治体にクレーマーモードでその危険性を啓蒙する、 つくば市在住のねらーにして、独立行政法人産業技術総合研究所グリッド研究センターセキュアプログラミングチーム長であられる、偉大な工学博士高木浩光先生のスレッドです。 高木浩光, 独立行政法人産業技術総合研究所 ttp://staff.aist.go.jp/takagi.hiromitsu/ 高木浩光＠自宅の日記 ttp://takagi-hiromitsu.jp/diary/ Java(tm) House Mailing List Homepage ttp://java-house.jp/ml/ Part15 pc5.2ch.net/test/read.cgi/prog/1106959275/ Part14 pc5.2ch.net/test/read.cgi/prog/1086129873/ Part13 pc5.2ch.net/test/read.cgi/prog/1053046286/ Part12 pc.2ch.net/test/read.cgi/prog/1044669620/ Part11 pc.2ch.net/test/read.cgi/prog/1031559679/ Part10の本物 pc.2ch.net/prog/kako/1016/10169/1016959291.html Part10の偽物 pc.2ch.net/prog/kako/1016/10169/1016958515.html Part9 pc.2ch.net/prog/kako/1005/10059/1005921094.html Part8 pc.2ch.net/prog/kako/1000/10003/1000335545.html Part7 mentai.2ch.net/prog/kako/994/994801263.html Part6 mentai.2ch.net/prog/kako/991/991102693.html Part5 mentai.2ch.net/prog/kako/984/984418451.html Part4 mentai.2ch.net/prog/kako/979/979192356.html Part3 mentai.2ch.net/prog/kako/973/973215809.html Part2 mentai.2ch.net/prog/kako/972/972152979.html Part1 mentai.2ch.net/prog/kako/967/967317230.html 405 名前：仕様書無しさん [2007/03/29(木) 00:44:03 ] ヤフーが新たなフィッシング対策、お気に入り画像をログイン時に表示：ITpro itpro.nikkeibp.co.jp/article/NEWS/20070326/266360/?ST=security これはどうなんだろう？ブログで扱ってくれないかな。 406 名前：仕様書無しさん mailto:sage [2007/03/29(木) 02:34:20 ] >>405 ttp://takagi-hiromitsu.jp/diary/20040911.html#p01 これの後半の話と同じかなあ。 407 名前：仕様書無しさん mailto:sage [2007/03/29(木) 03:50:50 ] てか、Cookie 自体がプライバシーを侵害する可能性のある技術 (IPアドレスが変動しても行動がトラッキングされる等) な訳で、 セッションの範囲を超えた Cookie は除去する設定にしているから使えない。 そういうユーザを考慮して、 --- 「https://anti-phishing.yahoo.co.jp」 からの Cookie を受け付ける設定にして下さい。 このドメインでは フィッシング対策としてのテキスト・画像の保存以外の目的のCookieを発行したり、 マーケティング等の他の用途に使うことは絶対にありません。また、情報を IPアドレス等のほかの情報と関連付けることもありません。 --- とかやってくれれば良かったんだけど。 これじゃあ、最近 IE7 の影響で しょっちゅうCookie削除するアフォが増えて、適切な広告を表示できない。(もろマーケティング目的) だから、Cookie消させないようにしよう Cookie即消し厨は詐欺に騙されればいいさ　あははははｗｗ が目的としかおもえんｗ 408 名前：仕様書無しさん mailto:sage [2007/03/29(木) 04:29:30 ] 高木の下衆な発想だな 409 名前：仕様書無しさん mailto:sage [2007/03/29(木) 23:50:51 ] ほほう ttp://www.iisec.ac.jp/news_events/news2007/release_20070130/culsec_3rd.html 410 名前：仕様書無しさん mailto:sage [2007/03/29(木) 23:54:26 ] >>409 > 5. 選考方法 > 自薦・他薦による公募および審査委員からの推薦に基づいて、 > 審査委員会において審議・決定した（1月12日）。 自薦じゃねぇのか？ｗ 411 名前：仕様書無しさん mailto:sage [2007/03/30(金) 00:20:38 ] ttp://www.tokyo-np.co.jp/00/sya/20070329/mng_____sya_____007.shtml >『朝ズバッ』報道 ＴＢＳ誤り認める >「再利用という根幹部分に問題はなく、捏造（ねつぞう）などはなかった」 ここで「本論には影響しない。」という決めゼリフを期待してしまう俺ガイル。 412 名前：仕様書無しさん mailto:sage [2007/03/30(金) 00:26:23 ] インチキ野郎には共通点がある 413 名前：仕様書無しさん mailto:sage [2007/04/01(日) 13:59:19 ] エイプリルフールネタかいてよ 414 名前：仕様書無しさん mailto:sage [2007/04/07(土) 19:59:44 ] ttp://www.java-users.jp/ こんなのできてたけど、ひろみちゅにとっては、もはやどーでもいいのかもしれない 415 名前：仕様書無しさん mailto:sage [2007/04/07(土) 20:54:16 ] こんだけ普及しているのに、いまさらなにするんだって感じがするけど。 それに、ひろみちゅは、もうJavaに興味ないしね。 416 名前：仕様書無しさん mailto:sage [2007/04/07(土) 22:26:04 ] 今はRubyマンセー、Perl、PHPは氏ねかな? 417 名前：仕様書無しさん [2007/04/08(日) 01:19:24 ] ひろみちゅは日曜プログラマーだからな〜 過激な表現と勢いだけだから説得力がないｗｗｗ 418 名前：仕様書無しさん mailto:sage [2007/04/08(日) 01:26:07 ] 言説の切れ味はすばらしいのだけど、まともにソフトを作ったことがないのがたまに傷。 419 名前：仕様書無しさん mailto:sage [2007/04/08(日) 14:08:31 ] ひろみちゅついに爆発 に見せかけて職場の成果の宣伝 420 名前：仕様書無しさん [2007/04/11(水) 21:08:47 ] ひろみちゅは分かってねーよｗ なんでも細かく説明すりゃいいってもんじゃねーってのｗｗｗ 重箱の隅を高圧的に偉そーに語るのがひろみちゅクオリティｗｗｗｗｗ 421 名前：仕様書無しさん [2007/04/12(木) 00:18:47 ] >>420 細かい説明なんか無いんじゃないか? 422 名前：仕様書無しさん mailto:sage [2007/04/12(木) 00:20:43 ] 言い逃れロジックがそう見えるだけかと 423 名前：420 [2007/04/12(木) 01:03:49 ] >>421 こっちのことねｗ ttp://www.rcis.aist.go.jp/special/websafety2007/ それと話は変わるが、アドレスバーの偽装は、パッチの適用に関係なくできるよなｗ 424 名前：仕様書無しさん mailto:sage [2007/04/12(木) 01:26:32 ] >>423 じゃあ、最新のIEでアドレスバーを偽装する exploit code を提示してみて どうせ出来ないだろうけどな 425 名前：仕様書無しさん mailto:sage [2007/04/12(木) 08:12:52 ] >>420 それはプロ向けの解説だろ？文盲ですか？ 426 名前：仕様書無しさん mailto:sage [2007/04/12(木) 11:48:18 ] java-hoseはどうなったの？ログがずっと更新されない。 ML自体は生きてるの？おせーてエロい人。 427 名前：仕様書無しさん mailto:sage [2007/04/12(木) 12:11:26 ] 期待するなよ　例のアレだ 428 名前：仕様書無しさん mailto:sage [2007/04/12(木) 12:12:40 ] アドレスバーを隠すな、という実装はかなり普及してきたけど 表示だけしてURLは書き換えられないような 表示方法がブラウザに実装されていれば そもそもアドレス隠しがそこまで広まらなかったんだろうな。 429 名前：仕様書無しさん mailto:sage [2007/04/12(木) 12:13:39 ] しかし、あのいい加減な検索誘導広告は大流行だｗ 430 名前：仕様書無しさん mailto:sage [2007/04/12(木) 17:16:31 ] >>428 hint: Mosaic 431 名前：仕様書無しさん [2007/04/12(木) 20:41:16 ] >>424 その頭の固さがアフォなんだつーのｗ 432 名前：424 mailto:sage [2007/04/12(木) 20:45:02 ] >>431 だから、素直に負けを認めたらどうだ。 JavaScriptで画面外に描画できる問題も含めて、既知のアドレスバー詐称の脆弱性は全て修正されているわけで。 「アドレスバーの偽装は、パッチの適用に関係なくできるよなｗ 」 というなら、できることを示してみろよ。 433 名前：仕様書無しさん [2007/04/12(木) 20:50:19 ] >>432 なんで煽られてまで、教えなきゃいけねーんだよｗｗｗ 434 名前：424 mailto:sage [2007/04/12(木) 20:54:52 ] >>433 「その頭の固さがアフォなんだつーのｗ」 ←こういうこと言うお前さんのが煽ってるわけだけど まぁ答えられない時点で厨決定 435 名前：仕様書無しさん mailto:sage [2007/04/12(木) 21:12:26 ] ディスプレイにマジックで書けばいいじゃん。 436 名前：仕様書無しさん mailto:sage [2007/04/12(木) 21:13:39 ] >>435 わろたｗ 437 名前：仕様書無しさん mailto:sage [2007/04/12(木) 21:17:34 ] >>435 被害者側が偽装してどーすんだｗｗ 438 名前：仕様書無しさん mailto:sage [2007/04/12(木) 21:41:02 ] >>430が何を言いたいかさっぱり分からんのだが 自分の頭が悪いか？ 439 名前：仕様書無しさん mailto:sage [2007/04/12(木) 21:55:21 ] >>438 とにかく古ければいいと思ったんだろ。 Mosaicｈはまだ持ってるが、そもそも日本語が厳しくて使い物にならん。 440 名前：仕様書無しさん mailto:sage [2007/04/12(木) 21:56:29 ] >>438 アドレスバーはあるが、アドレスの編集ができないブラウザなの 意味わかった？ 441 名前：仕様書無しさん mailto:sage [2007/04/12(木) 21:59:30 ] >>440 で、何が問題なの？ 442 名前：仕様書無しさん [2007/04/12(木) 22:23:19 ] 意味が解らなかったのが問題だったんじゃね？ 443 名前：仕様書無しさん mailto:sage [2007/04/12(木) 22:37:36 ] 持ってくる意味という根源の方が 444 名前：仕様書無しさん [2007/04/12(木) 23:46:05 ] おい、下らんことでもりあがらずにひろみちゅねたでもりあがれよｗ 445 名前：仕様書無しさん mailto:sage [2007/04/13(金) 00:31:03 ] みずぽと全銀協が修正してるね。 446 名前：仕様書無しさん mailto:sage [2007/04/13(金) 00:38:33 ] 書き換わったね ひろみちゅ効果か 流石です www.mizuhobank.co.jp/crime/internet/ib_02.html > みずほ銀行からの電子メールが届いた場合、まずは送信元アドレスを確認してください。みずほ銀行が発信する電子メールの送信元アドレスは、 > 「mizuhobank.co.jp」もしくは「mizuho-bk.co.jp」という文字列で終わります。ただし、電子メールの送信元アドレスが正しく表示されている場合でも、 > 偽装されている可能性もありますので注意が必要です。 S/MIME 署名に対応して、それを確認させた方がいいと思うな…。 「ホームページが偽物ではないか、ホームページのURLやブラウザの鍵マークなどを確認してください。」は、 > ご注意 > みずほ銀行の個人情報を入力するホームページは、一部の法人のお客さま向けページを除き、「https: //xxxxxx.mizuhobank.co.jp/」という文字列 > がアドレス（URL）の先頭に来ます（xxxxxxは、英数字および「.」（ピリオド）を含む任意の文字列であり、「/」（スラッシュ）は含みません。みずほ銀行の > 主なウェブサイトURLは下記の「関連項目」のリンクからご確認ください）。 これをメインにして欲しかった。 447 名前：423 ◆gW1OFY.lEA [2007/04/13(金) 00:39:21 ] >>435は分かってるみたいだね >>424は、「アドレス偽装=脆弱性」っつー固定概念に捕らわれすぎなんだつーのｗ いきなりexploitとか、言っちゃってんしｗ そんな定義は、どこにもねーよｗｗｗｗ ひろみちゅｗも頭が固いから、424と同程度の浅はかな考えで、糞とかいっちゃうんだよｗｗｗ 448 名前：仕様書無しさん mailto:sage [2007/04/13(金) 00:40:02 ] にしても、普通更新したら更新履歴に記録残すだろ。 * 2007年2月26日セキュリティガイド（4コマ漫画）を掲載いたしました * 2007年2月23日みずほインターナショナルキャッシュカードの海外ATMでのご利用限度額の引き下げについて * 2006年12月3日当行ウェブサイトを改訂しました。 の上に、 2007年4月13日? セキュリティガイド（4コマ漫画）の誤りを修正いたしました　とでも載せて、修正箇所を表にしてまとめたページにリンクすべき 449 名前：仕様書無しさん mailto:sage [2007/04/13(金) 00:42:38 ] >>447 だから、脆弱性以外でどうやってブラウザのアドレスバーに表示されるURLを偽装するんだよ 自分でドメインとれば、hoge.example.com で Yahoo! を表示させることができます、とかそういう話？ フィッシング詐欺師のサイト www.sagi.example.com/ にアクセスしたのに、 ブラウザのアドレスバーが https://www.webmoney.jp/ になる、こういうことはブラウザの脆弱性以外ではm受理 できるっつうならそのやり方書いてくれよ、頼むよ 450 名前：仕様書無しさん mailto:sage [2007/04/13(金) 00:46:49 ] www.mizuhobank.co.jp/crime/internet/ib_04.html ここは修正されてないようだな ソフトウェアキーボードにセキュリティを高める効果って何よｗ 大体今のスパイウェアの9割はソフトウェアキーボード回避機能　（クリック時のSS撮影）　がついてるんだが 451 名前：仕様書無しさん mailto:sage [2007/04/13(金) 00:51:51 ] >>450 スパイウエアがそんな面倒臭いことするかあ? JavaScriptで抜くほうが早いだろ。 452 名前：仕様書無しさん mailto:sage [2007/04/13(金) 00:54:10 ] >>446 ＞がアドレス（URL）の先頭に来ます（xxxxxxは、英数字および「.」（ピリオド）を含む任意の文字列であり、「/」（スラッシュ）は含みません。 やたら技術屋臭い文章。ｗｗｗ 453 名前：仕様書無しさん mailto:sage [2007/04/13(金) 01:06:43 ] >>452 そうしないとひろみちゅのような技術ヲタに食い付いてもらえない 454 名前：仕様書無しさん mailto:sage [2007/04/13(金) 01:23:53 ] > （！）みずほ銀行では、各種暗証番号や口座番号等に関する情報を要求する > 　　　電子メールをお送りすることはございません。 > みずほ銀行からの電子メールが届いた場合、まずは送信元アドレスを確認してください。 > みずほ銀行が発信する電子メールの送信元アドレスは、 > 「mizuhobank.co.jp」もしくは「mizuho-bk.co.jp」という文字列で終わります。 > ただし、電子メールの送信元アドレスが正しく表示されている場合でも、 > 偽装されている可能性もありますので注意が必要です。 改変されたけど、まだ変だな｡ これでは、電子メールの送信元アドレス確認に意味があると誤解させる。 だいたい、なにをどう注意するんだよ。 余計なこと書かないで、電子メールは信頼できないとはっきり書けばいい。 そのうえで、どうかしたい場合は、下みたいな内容を書く。 > みずほ銀行が、電子メールでお知らせする場合は、 > 同じ内容を当銀行のホームページでもお知らせします。 > 必ず、電子メールとホームページの内容が一致するか、ご確認してください。 > また、電子メールにホームページのアドレスがかかれている場合は、 > すぐそのページにアクセスしないで、次のことを確認してください。 > （以下、確認方法を分かりやすく書く。httpsで始まって、銀行のドメイン名、スラッシュまで必ず見るなど） 455 名前：仕様書無しさん [2007/04/13(金) 01:29:56 ] >>452 ﾜﾗﾀ。ひでえ。拡張BNFとかで書き出しそうな勢いだなｗ 456 名前：仕様書無しさん mailto:sage [2007/04/13(金) 01:40:18 ] >>451 してるよ パケットキャプチャしても https は見られないしいろんなブラウザがある。 だからタイトルバーの文字列キャプチャーして　「みずほ」　とか　「三井住友」　とかがはいっているときに キーボード入力履歴とマウスクリック時のスクリーンショット　（容量減らすためにマウスカーソル付近の部分、これでソフトキーボードは全部みられる）　を取得してる この仕組みでFirefoxだろうとOperaだろうとIEだろうと、キーローがーとして機能する 457 名前：仕様書無しさん mailto:sage [2007/04/13(金) 01:55:13 ] >>450 別に間違ってねーべ？ 1割セキュリティが高まってるわけだしｗ 458 名前：仕様書無しさん mailto:sage [2007/04/13(金) 04:05:20 ] >>457 残り１割のスパイウェアは、クッキーだろ？ 459 名前：仕様書無しさん mailto:sage [2007/04/13(金) 04:06:39 ] >>458 ・・・・・・・・・ Cookieをスパイウェアにいれたら 98％ Cookie になるよｗ 460 名前：仕様書無しさん mailto:sage [2007/04/13(金) 07:08:12 ] >>459 空気嫁 461 名前：仕様書無しさん mailto:sage [2007/04/13(金) 08:36:15 ] 高木並みだからいいのだ 462 名前：仕様書無しさん mailto:sage [2007/04/13(金) 13:30:44 ] ひろみつは俺の嫁 463 名前：仕様書無しさん mailto:sage [2007/04/13(金) 23:20:05 ] MSも修正してるね 464 名前：仕様書無しさん mailto:sage [2007/04/13(金) 23:25:45 ] 修正をいちいち報告してるのって、ひろみちゅ本人？ｗ 465 名前：仕様書無しさん mailto:sage [2007/04/13(金) 23:50:42 ] 久々に電凸ネタが見たいな 466 名前：仕様書無しさん mailto:sage [2007/04/14(土) 00:03:56 ] 近いうちに、指紋認証のEULAネタ来るよｗ 467 名前：仕様書無しさん mailto:sage [2007/04/14(土) 02:49:13 ] >>464 煽りおつ 468 名前：仕様書無しさん mailto:sage [2007/04/14(土) 11:18:33 ] >>466 来ないよ。自分はできないから誰かやってと言ってなかった？ 469 名前：仕様書無しさん mailto:sage [2007/04/14(土) 13:31:51 ] リバースエンジニアリングまつりの話？ 470 名前：仕様書無しさん mailto:sage [2007/04/14(土) 23:13:13 ] >>464 ここはそういうスレなんだが･･･ 471 名前：仕様書無しさん mailto:sage [2007/04/15(日) 00:56:54 ] 普段から勘違いして甘やかされて、あんな風になった奴のスレだしね 472 名前：仕様書無しさん mailto:sage [2007/04/17(火) 00:12:25 ] b.hatena.ne.jp/entry/http://neta.ywcafe.net/000727.html これ、「認証キー」と呼ぶべきところを「セッションID」と呼んでしまったこと に対する突っ込みはわからないでもないのだが、 「呼び方」以外の本質的な問題は何も変わってないよな。 473 名前：仕様書無しさん mailto:sage [2007/04/17(火) 00:24:02 ] >>472 ひろみちゅｗは、自分が絶対正義だからなｗ たとえ、ベクトルが同じ、結果的に中身が一緒、だとしても 自分が言いたいことを言いたいように言うだけｗｗｗｗ 474 名前：仕様書無しさん mailto:sage [2007/04/17(火) 00:26:50 ] 一貫してそうだね 475 名前：仕様書無しさん mailto:sage [2007/04/17(火) 02:00:40 ] >>472 認証キーとセッションIDの違いが全く分からんのか。 全くの別物。 > 問題点その２：そもそも、「古いセッション情報はサーバー上から消す」という処理が存在しないらしい これ自体が大嘘だし。 言い換えれば、セッションを使わずに ID とパスワードを暗号化して Cookie にいれているようなもん、意味わかった？ だからセッションの有効期限なんて存在しないから、1年でも10年でもそのままそのCookieさえあればログイン状態が持続するわけよ。 そこをひろみちゅはいいたかったわけだが 476 名前：仕様書無しさん mailto:sage [2007/04/17(火) 02:01:36 ] つまり、さくらの SID は php のセッションIDのようなものではなく。 ID と パスワード をそのままいれている感じ。 だから、サーバのセッションが切れてもログインは有効のまま。 477 名前：仕様書無しさん mailto:sage [2007/04/17(火) 02:20:58 ] >>475 すげえええ本人くせえええええｗｗ 478 名前：仕様書無しさん mailto:sage [2007/04/17(火) 09:02:27 ] ひろみちゅは 言い換えれば なんて言い回し使わないよ 479 名前：仕様書無しさん mailto:sage [2007/04/17(火) 11:03:25 ] >>472 内容はともかく なんでこのスレでその話題が？ 480 名前：仕様書無しさん mailto:sage [2007/04/17(火) 16:41:31 ] >>479 そこに高木先生のコメントがあったから、このスレが反応しただけでしょ。 *2007年4月16日 >> HiromitsuTakagi [セキュリティ][半可通]間違い。SIDがセッションIDではな く認証キー（暗号化されたユーザID等）だということ。「1年前の古いセッショ ン情報すら…消えていない」 < データベースから消せと？/ 認証キーが毎 回変わるのに古いのも有効なのが問題 << 481 名前：仕様書無しさん mailto:sage [2007/04/17(火) 17:27:18 ] >>480 なるほど。そこか。 はてなの使い方はよく分かってないな。 482 名前：仕様書無しさん [2007/04/17(火) 19:51:40 ] >>478 ひろみちゅ擁護は全部本人乙〜でいいんだよｗｗｗｗ 483 名前：仕様書無しさん mailto:sage [2007/04/17(火) 20:51:28 ] 帰れ 484 名前：仕様書無しさん mailto:sage [2007/04/17(火) 21:10:32 ] ひろみちゅを擁護している奴は、救いようがない低能。 ひろみちゅのblogからは、誇大表現、曲解(極解)表現をフィルタし、本質のみを読み取れば良い。 逆に言えば、読み取るだけでよい。 中身だけを取れば、ひろみちゅの活動は賞賛に値する。 しかし、あいつ個人を擁護する価値は無い。 白と黒でしか物事を考えられない、視野が狭く、器の小さい奴を何故擁護するのか？ 過激な言葉、汚い言葉でしか表現できない奴を何故擁護するのか？ あいつのblogはモラルハザードの象徴。 個人のblogならどんな表現を用いて、何を書いても良いわけでは無い。 信者は、その辺をしっかり考えろ。 485 名前：仕様書無しさん [2007/04/17(火) 22:18:16 ] docomo.blogdns.com/jj.html 486 名前：仕様書無しさん mailto:sage [2007/04/17(火) 23:07:44 ] スラドにもなんか沸いてるな… 487 名前：仕様書無しさん mailto:sage [2007/04/18(水) 00:23:24 ] >>475 ＞認証キーとセッションIDの違いが全く分からんのか。 ＞全くの別物。 その2つの違いがどうだろうと、本質的な問題は違わないと 書いてある日本語が読めない池沼さんですか? ひろみちゅですら自ら 「認証キーが毎回変わるのに古いのも有効なのが問題」 って書いてるわけだが。 488 名前：仕様書無しさん mailto:sage [2007/04/18(水) 00:37:54 ] >>487 セッションID はセッションと関連付けられる情報だが、 この認証鍵はセッションとは関連付けられない情報なんだよ。 おまいさんは、指紋認証とパスワード認証が、個人を識別して認証するという点で本質的に同じであり、 指紋認証をパスワード認証と書いても問題無いと思ってるの？ 489 名前：仕様書無しさん mailto:sage [2007/04/18(水) 01:47:08 ] 高木っていうのは、なに間違っても痛い理屈で押し通すのだけが売りなんだろう 490 名前：仕様書無しさん mailto:sage [2007/04/18(水) 02:32:27 ] それが商売だから。 491 名前：仕様書無しさん mailto:sage [2007/04/18(水) 02:59:45 ] 大勢から明に暗に嫌われ疎まれて一生を終える人生を選んだ高木はすごいよ。 492 名前：仕様書無しさん mailto:sage [2007/04/18(水) 03:35:15 ] >>491 後の魔神ブーである。 493 名前：仕様書無しさん mailto:sage [2007/04/18(水) 09:18:45 ] 自業自得だよ　んなもん 494 名前：仕様書無しさん mailto:sage [2007/04/18(水) 10:03:31 ] >>487 >>488 さくらは phpsessionid も発行するけど、セッションは使ってないんだろうね。 アクセスごとに SID の暗号を復号化してユーザーIDを取り出して毎回DB引いてる。 それを予想できない自称Web屋というのが痛い。↓ ＞問題点その１：ユーザーは明示的に「ログアウト」ボタンを押しているのに、サーバー側のセッション情報が消えていない ＞問題点その２：そもそも、「古いセッション情報はサーバー上から消す」という処理が存在しないらしい 495 名前：仕様書無しさん mailto:sage [2007/04/18(水) 11:17:42 ] 馬鹿は煽らなきゃ　直らない 496 名前：仕様書無しさん mailto:sage [2007/04/18(水) 11:27:17 ] こいつの場合何やろうが煽ろうが無駄かと 497 名前：仕様書無しさん mailto:sage [2007/04/18(水) 11:33:26 ] 単純に言ってcookieに 「ログインできてしまう重要情報を」「長期間」 保存されるのは良い造りだと思えない、ってだけでしょ。 498 名前：仕様書無しさん mailto:sage [2007/04/18(水) 11:57:05 ] >>497 たとえ桜が不適切だろうが、自称Web屋が間違っているのは揺るがないよ。 499 名前：仕様書無しさん mailto:sage [2007/04/18(水) 12:35:37 ] そのWeb屋の人、前にも間違ったこと言って炎上してなかった? 500 名前：仕様書無しさん mailto:sage [2007/04/18(水) 14:51:08 ] Web屋は馬鹿のｽｸﾂ 501 名前：仕様書無しさん mailto:sage [2007/04/18(水) 14:55:09 ] >>498 糾弾することそのものが趣味なんだろ 502 名前：仕様書無しさん mailto:sage [2007/04/18(水) 16:33:24 ] >>488 ＞おまいさんは、指紋認証とパスワード認証が、個人を識別して認証するという点で本質的に同じであり、 ＞指紋認証をパスワード認証と書いても問題無いと思ってるの？ 誰がそんなこと言ってるんだ? まず日本語から学び直せ それでもわからないなら>>497を100回読め 503 名前：仕様書無しさん mailto:sage [2007/04/18(水) 18:36:05 ] 理解力無いのはどっちなんだ 504 名前：仕様書無しさん [2007/04/18(水) 19:21:20 ] >>503 少しまじめに見てみたｗ 最初の>>472に対する>>475のレスがおかしい 言っている事は間違っていないがベクトルが違うｗ まー端から見ている俺はどっちもどっちだと思うｗ いい加減論点がズレていることに気づけとｗ 505 名前：仕様書無しさん mailto:sage [2007/04/18(水) 20:11:29 ] >>488 君の例えを使うなら、高木浩光や>>488は 「指紋認証」と呼ぶべきものを「パスワード認証」と呼んだことについて DIS っているわけだが、 だが本質的には「失効させるべき認証情報を適切に失効させていなかったこと」が問題なのであり、 その本論に比べれば、その前段の認証手段が指紋なのかパスワードなのかは蛇足に過ぎない。 というわけで、 「指紋認証をパスワード認証と書いても問題無い」のではなく、 「もちろん問題はあるがそれは Web 屋の記事の本質からはずれている」わけですな。 高木浩光自身も「認証キーが毎回変わる」と言っているわけだから 古い認証キーを失効させることは技術的には可能なはずだよね。 (もっともそんな処理を真面目に実装するくらいなら素直にセッション関数使った方が楽だろうが)

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef