パスワードは暗号化されてません＾＾

アホかマジで

馬鹿なの？死ぬの？

これもっと大事になるべきだろ
やばい

いちいち何か喋るたびにスレ立てんなキチガイが（＾０＾）

平井「パスワードは暗号化されていません（ッチ…糞みたいな質問してんじゃねえよ…）」

この質問だけ対応が違った

>>4
キチガイがキチガイ言うなよ

素人じゃ無いんだから、そんな事はあり得ない

嘘を言ってはいけない

驚きはないな、改めて認識するだけ

酷すぎﾜﾛﾀ

>>8
今やってるのはウソ会見なのか？

無知wiiってまだ生きてたんだ

もう販売数も嘘なんだろうから正直に言えばいいのにな

こんだけザルでおまけに補償も舐められまくってもチョニーに忠誠心を誓うゴキブリすげえ

さて、何故SCEが通信技術にコストを掛けていないか論じようかね

Q.　ハッカーはどのように侵入してきたのか？
A.　高度な技術を使って侵入してきた

Q.　具体的にどうやったのか？
A.　既知の脆弱性を突かれた

こりゃ訴えられたらサンドバッグ確定だな
北米でズタボロにされるわ

>>4
今回の会見でお前に都合の良い発言なんて出ねーよw

ソニー大勝利！
ユーザー大敗北！

あなたのパスワード丸見えですよｗ

どこの中小企業だよ

丸見えなら、それはもうパスワードじゃないよね？>1

基本ゲームというコンテンツは著作権や顧客、規格、版権に疎い
極論を言えば「嗜好品だから購入側に責任がある」全てではないが
この様な認識

常識的なことをやらない超大手企業世界のソニー

祭になったので訂正しますｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

ハッシュ化って何？

訂正いたします
暗号化はされていないけどハッシュ化はされているだってさ。

ハッシュ化はしてたんだってよ。

ハッシュ化はされています（ｷﾘｯ

世界のソニーは世界のように心が広いんだよ
みんなに優しいから、クラッカーにも優しく暗号化なんてしないんだよね

暗号化はされておりませんがぁぁぁぁ
ハッシュ化はしておりまぁぁっぁっす＾＾



死ね

ハッシュ化ってつまりmd5とかsha1とかだろ。
暗号化してるって事じゃん。

ハッシュ化されてるならもれても平気じゃん？
なんで最初に言わないの？

ディープパープルってこと？

>>26
ハッシュ関数というのを通して暗号化することです。
ハッシュ化されたデータをみただけではパスワードはわからない。

嘘つくよりマシだろ

>>33
いきなり訂正したのでここ見て助言きて直しましたレベルだなｗｗｗ

ハングアップを除くバグであるとかが良い例にあげられる
法的な規制等が無い為、ハードメーカー別のガイドラインは
あるがそれ以外に関しては発売側に全てを委任されている
だからこそ表現がある程度許される事になる

ハッシュ化しただけとか意味無さ杉

ハッシュは暗号化じゃなく
ただの文字の置き換えに近い

犯人のアカウントに設定されているパスワードと
盗んだデータからそのハッシュかされたパスワードを比較すれば

ハッシュ値が計算できるだろ

MD5ってファイルの同一性を調べるための数値で暗号とは関係ないんじゃ？

暗号化ってのは復号化できるものって考え方をする場合が大きいから
ハッシュ化ってのは復号化出来ない

ハッシュハッシュゥゥゥゥゥ

意味ねぇぇぇェェェェェｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

贔屓目にしてたファミ通が・・・・・
最近国内が任天堂MSが弱いんでひいきやめたか

すげぇな、今のゲハ完全に「ＳＯＮＹ板」になってるｗ

同じデータ多く持ってりゃハッシュ値割り出せる気がすんだけど

つまりパスワードはハッシュ値が漏れてるだけだから問題ないな。

ハッシュなんてのは個人PCでもとけちゃうのになに言ってんだよカズ…

バカじゃね

>>40
できないよ。
ハッシュ関数は不可逆。

>>44
ヒゲの息子が被害にあってっからヒゲがキレたんでしょうよ

SCE含めハードメーカーも基本はパブリッシャないしデベロッパ上がりの
人員で構成されゲームのコンテンツの根幹に関する議論はあっても
その他の分野に関しての議論は皆無に近い、つまり通信速度の議論はあっても
秘守技術の議論は好まれる事はない、得にコスト面で

PS3のマスターキーが漏れている件には回答しなかったねえ？

レインボーテーブルで

ルートキーは？→ブログやってます→いやだからルートキーは？→頑張ってます！

この質問したファミ通見直した！

>>53
できるわけがないｗｗｗｗ

あからさまに逃げていたしなｗｗｗｗｗｗｗｗ

まあ一応漏洩とルートキーは別問題だからなｗ
あっちは割れ関係だし

ハッシュドポテト

>>55
そして結局何も答えずスルーするSCEﾊﾟﾈｪｗｗｗｗ

>>53
ファミ通が質問したけど完全にスルーされた

バカな勘違いしている人に言っておくけど
ルートキーと今回のハッキングはなんの関係もないからね。

>>55
具体的にはｺﾞｷｬﾝﾍﾞﾝってか

対応した例では近年ではDSのマジコン対策が挙げられるがハードメーカーが
音頭を取って行うのは可也珍しい事例といえる、但し対策に関しては必須ではなく
これも各パグリッシャに依存されている

>>61
あるだろ
ルートキー指摘→ソニー逆ギレ訴訟→ハッカー怒る→クラッキング

天才的にダメだな

>>64
技術的に関係ないという話だが。

>>61
なら関係ないって答えりゃいいのに
何も言わずにスルーする必要もないよね

公的な場で質問受け付けて質問で出てきたのに質問に回答ださないって
心象悪くするだけだぜ

日本企業は万が一の事態への備えがずさん過ぎる
東電と変わらない

>>67
関係ないことなど当たり前すぎて言う理由がないだろ？
原因はアプリケーションサーバーの既知の脆弱性って言ってんだから。

ルートキーは前のＦＷで対策されただろ

>>50
不可逆？ｗ

状況説明の会見で
「当たり前だから言う必要がない」
ってどんな会社だよｗｗｗｗｗ

ファミ通はほんとに関連性が無いのか知らないから
質問だしたのにｗｗｗｗｗ

>>70
馬鹿だろ、本体に組み込んであるんだから完全に対策なんてできねえよ

そうだねアプリケーションサーバーの既知の脆弱性のせいだねｗｗｗｗｗ

ここで言うハッシュ化は検証に使う
不可逆なMD5みたいなハッシュのことだろう。

>>71
まあ簡単なのだと解析される可能性は高いけど。
7700万全部を総当りですべて解析するかね？

そうだねハッシュは暗号じゃないねw

>61
>バカな勘違いしている人に言っておくけど
>ルートキーと今回のハッキングはなんの関係もないからね。

バカはおまえじゃね？
ハッキングしたPS3にPSNサーバと通信させて通信内容を解析、
んで解析したPSNの管理者権限を使ってサーバから情報を丸ごとダウンロード、だろ
管理者用のパス入手も、PSNとの通信内容の解析も、PS3のルートキー流出が不可欠
そもそもPS3のルートキー流出をSCEが早期に対応していたらPSNをクラッキングするなんて出来なかっただろ
完全にSCEの怠慢だな
無双のDLC流出なんてのもPSN停止直前にあったし、ユーザー相手の訴訟以外に
PSNに参入しているサードからの訴訟も出てくるんじゃないの？

>>74
そうだよ。
SQLインジェクションでしょ？

>>16
既知の脆弱性っつーか既知外の脆弱性だなここまでくると

>>79
それはないだろ。
quoteしてないとか

winnyのハッシュだと、任意のハッシュのファイルを作れる。

>>78

今、丁度長谷川が言った。
SQLインジェクションだ。

>>78
DLC込みでの採算を考えてるタイトルだったりすると大変だわな

ここまで徹底してると感動すら覚える

説明によればアプリケーションサーバは
rootとられているだろ。
インジェクションなんぞ使わずともDBには
アクセスし放題

>>86
そのrootとるのに使ったんでしょ。

退会不可ｗ

ルートキー流出も脆弱性の認められたサーバを対策無しに使い続けたことも、
SCEにはマイナスでしかないのによく問題を放置し続けてたな
授業料が2兆超えってのは、自殺志願者かね

ばっかで〜。
rootとられたってことは、もうなにもかもやりたい放題やられましたって
事と同意だからなぁｗ

SONY、本当にネットワークビジネスする資格のないボロカス企業ｗ

ソニーの技術ものすごいなだだもれじゃねーかｗ
ハッキングもものすげー簡単だったろうなーｗ

ハッシュ化する暇があったら暗号化しろよ。

>>92
たしかにｗ

ハッシュ化は文字化け対策だというのに！ｗ

わーい、あんしんだねー

* 暗号化とは？
自由に決められる「鍵」を使い、文字や数値をある一定の規則（暗号化関数という）で変換し、一見では内容がわからない情報にすること。 「鍵」を知っている者はもとに戻して（復号化）内容を知ることができる。
* ハッシュ化とは？
文字や数値をある一定の規則で変換すること。変換にはハッシュ関数、別名一方通行関数を使う。一方通行という名のとおり、変換されたものをもとに戻す手段は無い。
例えば、「abcd123」という文字列をMD5というハッシュ関数で変換し、それを文字として表すと「79cfeb94595de33b3326c06ab1c7dbda」となる。この32桁の文字から元の「abcd123」を割り出す方法は無い（もしできたらNASAかCIAあたりからスカウトがくるだろう）。

このように、暗号化とハッシュ化は似てるが違う。 パスワードの保存に適しているのはハッシュ化のほうなのだが、単に「ハッシュ化」と書いてもピンとこないと思われるため、この先の話ではあえて「暗号化（ハッシュ化）」と書くことにする。
http://neta.ywcafe.net/000123.html

平井会見の感じじゃPS3のルートキー流出とPSN情報流出はやっぱり関係ありそうじゃねえか
ゴキブ李は本当に嘘つきのバカばかりだな

ハッシュ化は復号できない暗号化みたいなもんだから
これに関してはソニーの落ち度はないだろ
Xbox Liveだっておそらくハッシュ化してパスワードは保存してると思うぞ

>>97
ファーム3.60は不可侵でした
ハッカー大敗北
なんて言ってた頃が懐かしいな

申し訳ありません、
サーバーに置いてあった password.txt が
何者かにコピーされてしまいました！

ハッシュの方式によっては、解析されるよ
SHA1だっけか、その当たりだとNG.

それを言うなら暗号化だって方式によっては容易に解析されるな
まあソニーを叩きたい人には残念で仕方ないのはよく分かる

2011年にもなってSQLインジェクションくらうとか恥ずかしいにも程がある
システム設計後のセキュリティ検査で確実にチェックされる場所なのに

ミドルウェアのどこかにSQLインジェクションの脆弱性があったってこと？
自分たちで開発した部分なら既知の脆弱性とか言ってないで
さっさと直せって話しだし

脆弱性は知ってたんだろ？

だからハッシュの方が安全なら何故それを会見で言わない。

>>106
言ったよ
後からの訂正だったから本当かどうかは知らんけど

ばっかだねー
ハッシュが安全なわけねーべ

そもそもパスワードをハッシュにする理由は「漏れても多少安全だから」
以外に考えられないから当然不可逆なロジックを使ってるだろう

問題なのは、ローカルに落とされてしまったら
サーバと違って「3回間違えたら10分アクセス停止」
なんて回避ができないから、辞書総当り等で結局破られてしまう可能性が高いこと

今後も？どうすんの

任天堂のやり方は正しかったな。
まだまだオンライン環境はゲーム機で採用するには早すぎたんだよ。
任天堂程度のネットサービスぐらいが一番安全なんだよ。

それかMSレベルの技術力を身につけるか

>>111
MSは数千億投入してLiveを構築したけどね。
任天堂はそこまで投資するのを良しとしなかったので身の丈にあったシステムを構築。
ソニーはＭＳをパクろうとしたけどテキトー過ぎたので今に至る。

>>113
ほんと、小手先だけでパクろうとするんだよなｗ
すべてにおいてｗ

ハッシュ化の仕組みって登録したパスワードをハッシュ化して保存、ユーザーが入力したらそれをハッシュ化してハッシュが合えば認証・・・て感じ？

MSやAppleクラスならまだしも、ソニーじゃな…

MSは本来、ソフト屋、サーバ屋、システム屋。
官公庁や、超巨大ネットワークシステムの基幹部を構築したり、その保守、運用
監視業務もやってる。

SONYは見かけだけ立派、中身ボロのハード屋。しかもインフラは全くできない音響屋
に毛が生えた程度の弱電屋。白物家電も作れない程度のとこ。

そもそも、格がまるっきり違ってる。

2ch使っててハッシュ化の説明とかねーよ

IDだよ

>>118
ちげーよトリップだろ

>>119
どっちも同じようなもんだけど、トリップの方がちかいかね

でトリップで表示される文字が抜かれた！
なりすましが増えるお！

っていってんだよね、今のところ
なんだかなぁ

そりゃトリップキーが割れたところで成りすまされるだけだけどさ、

PSNのID/パスワードが割れたら
・復旧後のPSNでそいつのIDを乗っ取られる
・同じID/パスワードで登録している別のサービスにも侵入できる
等の実害が発生する可能性がある

そもそもそれ以外の住所氏名などの個人情報は完全に抜かれてるわけだし

937 ：It's＠名無しさん：2011/05/01(日) 22:41:03.14
http://game.watch.impress.co.jp/docs/news/20110501_443967.html
>正常なトランザクション処理を装いコマンドを仕込んだデータをサーバーに侵入
OSコマンド・インジェクションか、SQLインジェクションかは分からんけども、基本的な手口過ぎてワロタ
ファイヤーウォールの問題じゃないと言ってるけど、WAF入ってたなら防げた可能性高いから

>アプリケーションサーバーの脆弱性については既知のもの
既知の脆弱性なんて、Metasploitあたりが対応してるか、exploitコードがexploit-dbあたりで公開されてるなら、
本場のハッカーじゃなくても、ティーンエイジャーのスクリプトキディでもクラックできる罠

共有知にすべきなのに、この機に及んで詳細を隠そうとしてるけど、無駄だから
OSの種類を知ることも、アプリケーションの種類を知ることも、外部から容易にできるわけで
ほんと技術力ないよなぁ

>>120
つまりトリップと同様にパスワードも腐るほど割られるってことか

無料のレインボーテーブル
http://www.freerainbowtables.com/en/tables/
MD5なら英数空白8文字以下・小文字英語10文字以下なら誰でも簡単に割ることができる
SHA1なら英数7文字以下・小文字英数空白8文字以下・小文字英語空白9文字以下なら誰でも簡単に割ることができる

「SHA-1+salt」はパスワードに十分だと思いますか？
http://blog.f-secure.jp/archives/50564743.html
salt付きでも危ないという話
>単一のATI HD 5970でさえ、攻撃者は33日で典型的レインボーテーブル（2^52.5ハッシュ）に相当するパスワードスペースをカバーすることができる、ということを意味している。
>そしてシリアスな攻撃者が、仕事に複数のカードを使用していることは間違いない。

でもたしかMD5のハッシュ変換アルゴリズムって、2-3年ぐらい前に脆弱性が指摘されてたよね？

なにか簡単に戻せるとかどうとか・・・

あ、すぐ上に書いてあってﾜﾛﾀ

これなのか？

ハッシュ化で問題ないという奴は
SONYに成り代わって、安全性を喧伝すればいい
そして、ハッシュ化でもパスワード変更などを求めるSONYを徹底的に糾弾するべき

ハッシュ化したあとに、さらに暗号化したなら？

パスワードがハッシュ化されていればサーバー上にあるうちは、ほぼ安全。
問題はハッシュ化されたパスワードがクラッカーの手に渡ってしまったことだ。
生のパスワードが解析されるのは時間の問題。

暗号化してたら複合できるだろｗ

HMAC_SHA1などの鍵付きハッシュを使うべきだし、
ハッシュ化は別のサーバーで行うようして、
アプリケーションサーバーがやられてもハッシュ鍵が漏れないようにするべき。

「ググレカス」
この発想はなかった
ttp://wordpress.rauru-block.org/index.php/1512

>>100ちょｗｗｗそれ俺レベルｗ

>>100, >>133
password.txt、いつくか見つかるなw
http://www.google.co.jp/search?hl=ja&lr=lang_ja&safe=off&q=filetype%3Atxt+inurl%3Apassword.txt
それよりconfig.plの方が多いけどもw
http://www.google.co.jp/search?hl=ja&lr=lang_ja&safe=off&q=filetype%3Apl+inurl%3Aconfig.pl+%22%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%22

setting.plやset.pl、conf.plあたりでもぼちぼち見つかるな。

そんなファイルどころか、メモ書きもするなって言われるでしょ普通ｗ

Perlをテキスト形式で閲覧できるって・・・
どんな鯖設定だよｗｗｗｗ

ちなみに.pl→.incにするとphpのが見れる
.co.jpとか.gr.jpとか含まれてるの見るとちょっとゾッとするなw
流石に.go.jpは無いかなと思ったら.confで発見したw
日本のセキュリティ、ザル杉ワロタ、セキュリティの専門家仕事汁www

俺ですら、昔HP作ったときにphp本体は隠したのに・・・

昔、そういうノリで顧客情報閲覧可能にしちゃってgoogleに引っ掛けられたところあったっけｗ

あったなｗｗｗ
商用の場合は有料みたいな配布サイトの
マーケット用phpだったかな

個人経営のサイトでも暗号化するよ

さすがに今は問題あるところは少なそうだな。テスト用データっぽいのがチラホラ?

佐藤 鈴木 東京都 神奈川県 "MySQL dump"
佐藤 鈴木 東京都 神奈川県 filetype:bak
佐藤 鈴木 東京都 神奈川県 filetype:db
佐藤 鈴木 東京都 神奈川県 filetype:sql
佐藤 鈴木 東京都 神奈川県 filetype:dat
佐藤 鈴木 東京都 神奈川県 yahoo.co.jp filetype:csv

わらえないなソニーのこの有様

専門家がいないから仕方が無い

ハッシュ化して格納してたんなら特に不備はないだろ
おそらく箱Liveだって同じ方式のはずだ
流出してしまったこと自体はもちろん重大な不備だけど
きちんと叩くべきものを理解して叩かないとゴキと同レベルだぞ

>>145
つ >>124 >>131

あーあ

ソニーはゴキブリ100匹飼ってるんだから
セキュリティーのプロを１人は雇うべきだったな

今回の事件の技術的側面まとめ
・ハードウェアのハイパーバイザーが物理的に安全な仕様ではなかった → 40nsのパルス(!)でファームウェアが吸い出される
・ファームウェア解析の結果、USBドライバにヒープオーバーフローの脆弱性があった → ドングルでの割れが流行る
・詳細不明 → PSNでウォレットが不正利用される
・ファームウェア解析の結果、非対称鍵が正しく使われていなかった → ルートキーが漏れて割れ放題に
・PSNで既知の脆弱性を放置していた → PSNが侵入され、個人情報を盗まれる
・PSNではパスワードの適切な鍵付きハッシュ化をしていなかった → メールアドレスとパスワードもペアで流出

>>134
ちょ、罠だろ、これ？？
アクセスしたらタイーホですね？w

>>150
ID/パスワード等で保護しているところへは
流出したパスワードを使っていてもアウト

保護していなければ全く問題ない

でも、日本だと法律も恣意的な運用されるからなあ

ハッシュ化は暗号化とは違うので、それだけでは安全とは言えない。
詳しくは↓のスレを参照。
http://kamome.2ch.net/test/read.cgi/ghard/1304238412/

鍵の流出の危険性考えたら、まともなセキュリティ体制が築けていない
PSNの場合実は暗号化のほうが危険な気がする。
アタックの必要すらないもの。

>>132
すげぇ、適当な意味のある言葉を変換してググってみたら・・・

米国版プレステサイトに不正コード混入 [2008/07/03]
http://www.itmedia.co.jp/news/articles/0807/03/news033.html
>SQLインジェクション攻撃
>ソニーの米国版プレイステーションサイトがこの攻撃の被害に遭った
>ソニーには通報済みだが、Sophosがこの情報を公開した時点でまだ不正コードは削除されていなかった

88 ：名無しさん必死だな：2011/05/03(火) 00:19:42.86 ID:TBu8NTFf0
銀行も損保も即、「ウチはシステム違うから」って言ったからなぁ
苦々しく思ってるだろうねえ、グループ内の仲の悪さでは
http://moneykit.net/visitor/info/info110427_03.html
http://from.sonysonpo.co.jp/topics/information/01_27042011_97873.html

ソニー、また情報流出か　米子会社でカード１万件超 [2011/05/03]
http://hatsukari.2ch.net/test/read.cgi/news/1304359127/
>攻撃を受けたのは、米国カリフォルニア州にあるゲーム配信子会社ソニー・オンライン・エンタテインメント。
>関係者によると、米国時間１日午後にシステムの異常を発見。世界で１万2700件余りのカード情報が
>流出した可能性があることがわかった。
-
>今回判明した１万2700件のうち、約4300件が日本国内のカード情報という。流出した恐れのあるカード情報は
>2007年のもので多くが失効しているとみられるが、一部では有効期限内のカード情報もあるもようだ。

>>157

１．2007年にクレカ使うような理由あったっけ？
２．なんでそんな古いのを残してたのか

また墓穴ほってないか？

すげえ規模になってきた

チカニシ乙！
俺のHPの掲示板でさえ、passは暗号化して記録してるというのに！

とどのつまり、個人サイト以下のセキュリティ、と

大企業病ってやつですな

ソニーが個人情報大量流出事件で抱え込んだ
ビジネスリスクの正体と信頼回復までの長い道のり
http://diamond.jp/articles/-/12148
>今回の事件が発生した背景として、ソニーの組織的な体質を挙げる人もいる。
>「硬直化した組織、縦割り行政の弊害が最悪の形で露呈した結果。情報開示の遅さ・ヘタさ、まるで東電を見るようです」というが、
>筆者から言わせれば組織が硬直化してない大企業など業界内に皆無に等しい。

MicrosoftとJuniper、IPv6 RA DoSの脆弱性を放置プレイ
http://yebo-blog.blogspot.com/2011/05/microsoftjuniperipv6-ra-dos.html
>Marc Heuse氏は2010年7月に多くの実装にこのDoS問題が潜んでいる事を明らかにしており、Ciscoは2010年10月に修正し、Linuxカーネルも修正済みである。
>ところが、MicrosoftとJuniperは脆弱性を認識しているが、修正は行われていないことが問題として取り上げられている[networkworld]。

ソニー、利用者全員の流出を確認　プレステネット７７００万人
http://sankei.jp.msn.com/economy/news/110505/biz11050508310000-n1.htm
>同社が世界の利用者約７７００万人全員について、何らかの個人情報の流出を確認していたことが４日、分かった。

【速報】ソニー　個人情報大公開中
http://hatsukari.2ch.net/test/read.cgi/news/1304593552/
個人情報漏れ+プロキシ発見の模様

>>139でふと口にした事がマジで起ったでござるの巻

おい平井、お前生命保険いくらのに入ってるんだ？

数字とアルファベット混ぜろと要求してくる糞仕様でありながらパスワードは暗号化していなかったと・・・

ワロタ
終わったなソニーｗ

ソニーは醜い。

>>168
糞仕様www親切設計だろ