新生鳩丸掲示板♯

もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。その上からシールを貼りますが、はがせないシールだと誰も読み取れないので、はがせるシールです。

銀行に口座作るときも似たような話だと思いますが。

それに比べれば、どうでもいいことを問題にしている気がします。

うーん

「ニフティのパスワードは読み出し可能」

は

「ニフティのパスワードはニフティ側が知ることが出来る」

にすべきじゃない？

興味を引くって点でいいtopic名？だけどかなり語弊があるよね。

パッと見、誰にでも読み出せるの？と思えるし。

あと他の殆ど全てのＩＳＰでも担当者はパスワードを読み出せます。

ユーザーが忘れた時などのために。

担当者が読み出せないＩＳＰを知りたいくらい。

（セキュリティー状そのような行為は出来ませんと答えるＩＳＰは別にして）

問題の「パスワードを郵便物に印刷して送ってくる」って点だけど

他のＩＳＰも契約時にはログインパスワードを郵便で送ってくるよね。

ただ、直ぐに変更して下さいとは書いてあるけど。

ニフティーの郵便には変更して下さい云々の言葉は書いてなかったのかな？

書いてなかったとしたら無料サービスとはいえ問題だねぇ。

>当時の中国の都市は城壁に囲まれていて、南京市もその例外ではありませんでした。その中で虐殺があったというのは、今ではこれはほとんど否定されています。そういうイメージでの虐殺ではないんです。研究の最前線では、そうなっています。

>議論は、いわゆる市内（城内）では、便衣兵の逮捕と処刑（これを国際法違反の虐殺かどうかの問題）。郊外（城外）での敗残兵の殲滅（これを中国側が虐殺と主張している）に移ってきているんですよ。

どっかのコピペですね。もう２０回ほど同じ文面をみました。

しかもウソだらけです。

中国側は最初から城外殺人説です。城外で難民と敗残兵が殺害されたことを問題としています。

どっかの誰かさんたちは中国側の難民殺害説を無視して、勝手に「研究の最前線」などと僭称しているようですね。

>キャラの頭身に違和感があったりしませんか【謎】。

　大いにあります。

　しかし、ゲラ=ハには違和感がないので OK。いや、元々人間じゃないのでどんな投身でも違和感ないと思いますけれど。

キャラの頭身に違和感があったりしませんか【謎】。

これがドット絵だと全然気にならないのが不思議ですが。

>PS2のゲームでしょうか。

　PS2 のです。初代ロマサガのリメイクという位置づけだと思いますが、リメイクぶりがかなり激いです。割とナイスな感じになっていると思いますが。

>僕はとりあえず今は、iアプリのFF2にハマッています。どう進めていいのか全然思い出せないので、最初の街の周りでHPをあげまくっているだけという謎なプレイですが。

　あー、大戦艦前に HP が 8000 とか、ありがちですね。それもまた一興ではあると思います。

　攻略サイトとしてはこの辺がお勧めです。

http://surune.hp.infoseek.co.jp/Home/FF2/index.htm

PS2のゲームでしょうか。

僕はとりあえず今は、iアプリのFF2にハマッています。どう進めていいのか全然思い出せないので、最初の街の周りでHPをあげまくっているだけという謎なプレイですが。

>http://www.microsoft.com/japan/technet/community/columns/insider/iisi0304.mspx#EBBAA

　情報ありがとうございます。なんとー。

>約 2 秒で行うことができます

　というのはちょっと笑ってしまいましたが、このほうが便利そうではありますね。

証明書サービス無しでも、オレオレ証明書の作成はできるみたいです。

SSLDiagやselfssl使うと、証明書サービスであれこれするよりは楽です。

http://www.microsoft.com/japan/technet/community/columns/insider/iisi0304.mspx#EBBAA

「当然仮定すべき」なのは、まったくその通りなんですが、確認できてしまったとなると、やっぱりショックですね。ISP側としても、パスワードがごっそり漏洩するリスクを抱えることになりそうな。

>あと、「パスワードは定期的に変更せよ」なんつーのもあったような気がする。

　それは議論の分かれるところですね。それを実践すると「パスワードは決してメモしてはならない」という掟と両立できないことがあるので難しいです。

# というか、ニフティにしても人の入れたパスワードを印字したりするからびっくりなのであって、管理者が読めるというだけではここまで驚かないですけど。

>証明書作成は OpenSSH じゃなく OpenSSL かな。

　御意。直しましたです。

>>管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

>これ、ずいぶん以前から「類推できるようなパスワードにするな」「パスワードそのものをメモるな」などと共にセキュリティの基本として言われていたような気がする。

　へい。

　教訓ということで書いてます。

>>管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

>

>これ、ずいぶん以前から「類推できるようなパスワードにするな」「パスワードそのものをメモるな」などと共にセキュリティの基本として言われていたような気がする。

あと、「パスワードは定期的に変更せよ」なんつーのもあったような気がする。

>NIFTY に限らず、どの ISP でも、ユーザのパスワードを知っている／あるいは知ることができると仮定すべきでしょう。

私も実はこの日記を最初に見たときにそう思った。

>管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

これ、ずいぶん以前から「類推できるようなパスワードにするな」「パスワードそのものをメモるな」などと共にセキュリティの基本として言われていたような気がする。

NIFTY に限らず、どの ISP でも、ユーザのパスワードを知っている／あるいは知ることができると仮定すべきでしょう。

PPP の認証に PAP を使っている ISP なら、プロトコル上クリアテキストで送るわけですから、プロトコルダンプをとれば、当然分かります。

認証に CHAP を使っている場合、CHAP の仕様上、クリアテキストを求めることができる形式でパスワードをデータベースに格納する必要があります。CHAP の場合、プロトコルダンプをとってもパスワードは分かりませんが、むしろ、より簡単な方法で、管理者はパスワードを知ることができるわけです。

CHAP の方が盗聴には強いですから、最近はむしろ CHAP を使う ISP が増えているのではないですか？

NIFTY の場合、PPPの接続手順として、PAP を使う方法を図示していますから、確かにデータベース上ではクリアテキストで保存されてない可能性もあったわけですが、セキュリティ上は、それを仮定しない方が良いと思います。

相手が ISP であろうとなかろうと、共有鍵を用いた認証を行なう場合には、管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

証明書作成は OpenSSH じゃなく OpenSSL かな。

　　　　　　　　　　　　　,. -ｧ'´￣￣￣￣｀ヽ､

　　　　　　　 　 　 rｧ'´ ／　, -'´￣｀`ヽ､｀ヽ､|`ｰ､

　　　　　　　　　 /ヽ／　＜　　　　　　　 ＞　　 　 ＼

　 　 　 　 　 　 /__, ------ ､｀ヽ､, -', -────┬ヽ

　　　　　　　　/　　　＿＿__　 ＼／　　, -─‐┐　 ﾄ､　!

　　 　 　 　 __|∧　　ヽ　　　 ＼＿＿∠------､　ﾉ　ヽ「｀ヽ､

　　　　　 ∠..」〉 ＼ 　 >r7T|￣|||　　　　--- ､　 ｀ヾ､_ハ-､__ ＼

　　　＜'´　r‐|X_rｲ|/, -|7'''|!` |ﾊ!　　　　 , -- ､　　ヽ＼/　　　／　　ＪＩＳ厨のbigbaka？

　　　　 `ｰ--〈 // |{|　r',==;ミ　　 　 　 　 r'::乙j,ヽ　 ﾚ‐‐ミr‐'´　　　ええ、知ってますよ

　　　　　､____ノ r‐､|ヽ! {::;;;;ｰ'!　　　　　　 ヾ::;;;:ﾉ　　 |/i　 }ヽ､从　　 何でも精神異常者で

　　　　　 ゞ//　| rｨミ　 `＝'′　　　　　 　 ￣　　　 |_ﾉ ∧＿_∠　　キチガイな事ばかり

　　　　 r'´::/ ／ヽ `i　　　 　 　 　 :i　　　　 　 　 　 |_ノ　ヽ|:::::::::::`>､言うので殺されたそうですよ（藁

　　rイ　ヽ::ヽ|ﾘ　| ＼!　　　　　　 __`＿___　　 　 　./川/|/リ::::::::／　 ＼

　　|　ヽ　 ＼:::＼ﾄ､ｨ lヽ、 　 　 く/　　 　ﾉ　　　 ／人|/〃::::::／　 　 　 `i

　　|　　ヽ 　 ＼:::::::::ヾ从ヽ､　 　 `ｰ--‐'　 　 ／　/:::::::::::::::／　　　 　 　 |

　　ヽ　　 ＼ 　 ＼::::::::::＼'､｀''‐ ､　￣ 　_,　'´ 　 /:::::::::::::／ /　　　　　　/

　　　ヽｰ､　　　 　 ＼::::::::::＼　　 /`''o 〉 ＼ 　 /::::::::::／　/　　　　　　 /

　　　　';:::ヽ　　　`i　　＼:::::::::ヽ_/　　　{　　/`´::::::::／ / /　　//￣￣ /

　　　　 |:::::ヽ.　　　',　　　|l＼::::::::::::ヽ---'´::::::::::／||　|/　　 //ヽ､＿,ｨ′

　　　　 |::::::::〉　__　 '､. 　 || 　 ＼:::::::::::::::::::::::／ 　 || /　　　//(`ｰ∠/

　　　　 ヽ_/／　<　　ヽ _」L 　 　 ﾞヽ､:::::::／ 　 　 .|/　　(＼ヽ∠二V

　　　　　 ヽ/⌒´　　　/＼:::ヽ　　　　 |::::|　　　　/〈　　　ゝ､ヽ＼,.ク」

　　　　　　 ヽ 　 　 ／:::::::::＼::}､＿___人人 ＿___j:::::ヽ　　　 ヽヽ／/

　　　　　　　 ヽ､／:::::::::::::::::::::/ヾ::ｰ---|::::|--‐/::::::::::::ヽ　 　 ヽ'´/

>パスワード照会を試してみました。

　私も試してみました。

　ブラウザ上にそのまんま表示されるのですね。

#いや、パスワードにタグ状の文字列を含ませておくと「そのまんま表示」されることは回避できるようですが。

　まさかこんなことになっているとは。

パスワード照会を試してみました。

・必要なのは氏名、ID、電話番号、カード番号、有効期限、任意の4桁の数字

・入力後に送られるメールにURLが記載されており、そこにアクセスすると先ほど入れた「任意の4桁の数字」を求められる

・数字が正しければパスワードが表示される

上記のうち、@niftyが事前に知り得ないのは「任意の4桁の数字」のみですが、当然これをキーにパスワードを暗号化するわけにはいきません。

他の情報は@niftyに登録されている情報ですので、仮にこれらをキーにして暗号化されていても、システム管理者は復号可能であるということになりますね。

いや～。困りました。