コンテンツ開始

2011年12月30日


『会員IDやパスワードが第三者によって不正に抜き取られた』とはどういう事か

楽天ポイント、勝手にネクソンで…トラブル続出 : 社会 : YOMIURI ONLINE(読売新聞)

そもそも、パスワードをサーバー側でそのまま保存する事はありません。
もし、そのまま保存してしまうと、誰かが魔がさしただけで全てのユーザ
のパスワードが流出してしまいます。
※ サーバ側のデータはパスワードを知る事ができない、不可逆の文字列で保存されます。

入力されたパスワードを知るのは本人だけです。

ですから、『不正ログイン』がもし起きたとしたら、ほとんど本人の責任
で起こっています。唯一、直接システムに侵入してパスワードを書き換える
という事は考えられますが、それは犯罪者からしてあまり意味の無いもの
でほとんどあり得ません。

パスワードが漏れる原因は以下のようになります

1) パスワードを推測された
2) フィッシング詐欺によって、パスワードを入力してしまった
3) スパイウェアによって、パスワードを盗まれた

まったくもって本人の責任です。

ただ、今回の記事では限定的にゲームで使われてしまっていますし、ねらい
どころが『ポイント』という事もあり、かなり限定的な犯人像が浮かぶわけ
でして、デシタルでは無くアナログの犯行であるように思います。

というのも、パスワードの管理は前述の通り、絶対にそのまま保存はしませ
んが、カード情報はそういうわけにはいかないのでそのまま保存されます。
( 全くそのままにするか、暗号化するかはシステム全体の仕様に依存します )
これを盗んでどう使ったかは、ちょっとゲームサイトのシステム知らないし
犯行手順を想像する事は少しむずかしいですが、ここで言う『会員IDやパ
スワードが第三者によって不正に抜き取られた』とは、必ずしも正しい表現
では無いかもしれません

というか、楽天側がこういう表現する時点でその人の意図を疑います。

不正ログインは、ユーザの責任
カード情報の流出ならば楽天の責任

なので、状況からして『あいまい』になっているように思うわけです

関連する記事

SQLインジェクションなんて普通起きないはずなんです
クロスサイトスクリプティングは少なくともプログラマにしか理解できないと思います



posted by at 2011-12-30 23:06 | Comment(0) | 知恵メモ : ネットセキュリティ | このブログの読者になる | 更新情報をチェックする
SQLの窓全体の検索
Custom Search
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。
コンテンツ終了
右サイド開始
コンテナ終了 base 終了
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX