【雑】野鳥観察 part19【談】
939 : ◆n3D69Zsbfg :
>>929
まさに丁度そのへんのシステムを構築しているところだったんです。
完成品じゃなく、しがかり状態。
ご存知のように●での書き込みは、●認証時にうけとったセッションIDを
そのまま bbs.cgi に渡すことによって制御されています。
セッションIDはもし漏れても特に問題ないようには工夫されています。
その長さが128バイトあります。ログに記録するには長いので縮める
作業をしていたという場面でした。qbでやっていた。
なぜ記録するシステムを構築しようとしていたかというと、
●を使ってのあらしが出始めていたという事実があったからです。
たまたまその時に記録されたログは、セッションIDに含まれている
ログインIDだったのでしょう。(推測)
事実ログインIDが目に見える形で記録されていた時期もありました。
現在記録しようとした場合記録されるのは負荷逆な暗号化された
16バイトの文字列です。さらに皆さんの
まさに丁度そのへんのシステムを構築しているところだったんです。
完成品じゃなく、しがかり状態。
ご存知のように●での書き込みは、●認証時にうけとったセッションIDを
そのまま bbs.cgi に渡すことによって制御されています。
セッションIDはもし漏れても特に問題ないようには工夫されています。
その長さが128バイトあります。ログに記録するには長いので縮める
作業をしていたという場面でした。qbでやっていた。
なぜ記録するシステムを構築しようとしていたかというと、
●を使ってのあらしが出始めていたという事実があったからです。
たまたまその時に記録されたログは、セッションIDに含まれている
ログインIDだったのでしょう。(推測)
事実ログインIDが目に見える形で記録されていた時期もありました。
現在記録しようとした場合記録されるのは負荷逆な暗号化された
16バイトの文字列です。さらに皆さんの
|
|
|
940 : ◆n3D69Zsbfg :03/09/15 02:35
うわっ 暴発
以下はさらに改良を加えるべく努力中ということです。
以下はさらに改良を加えるべく努力中ということです。
>さらに皆さんの
気になるから
気になるから
気になるから
気になるから
942 : ◆n3D69Zsbfg :03/09/15 02:37
943 :名無し草:03/09/15 02:39
ん?idからメアドが割り出せるもんなのか
その事件ってのが●の個人情報を閲覧した管理関係の人物による
個人情報の私的利用及び流出であり、かつ
あっちの272がそのことの謝罪であり、かつ
異邦人=トオルと仮定した場合なんだけど
異邦人(=トオル)っていう、HNの人が「すみませんでした」で済む問題じゃないと思うんだけど。
会社の信用に傷つけて、下手すれば損害賠償にもなりかねないことを故意に起こした人物が
自分の正体も明らかにせず、ただ匿名で謝罪して「謝りました」っていうのは通用しないと思うね。
2chがこういう場所だからって、こんなふうにごまかしていい問題じゃない。
個人情報の私的利用及び流出であり、かつ
あっちの272がそのことの謝罪であり、かつ
異邦人=トオルと仮定した場合なんだけど
異邦人(=トオル)っていう、HNの人が「すみませんでした」で済む問題じゃないと思うんだけど。
会社の信用に傷つけて、下手すれば損害賠償にもなりかねないことを故意に起こした人物が
自分の正体も明らかにせず、ただ匿名で謝罪して「謝りました」っていうのは通用しないと思うね。
2chがこういう場所だからって、こんなふうにごまかしていい問題じゃない。
945 : ◆MUMUMUhnYI :03/09/15 02:39
>>942
本人に直接確かめれば良いのでは?
本人に直接確かめれば良いのでは?
947 : ◆n3D69Zsbfg :03/09/15 02:41
みなさんもご存知のように
セッションIDにはログイン時に入力したログインIDが暗号化されて入っています。
つまりこれが個人情報です。
2ちゃんねるは bbs.cgi 呼び出し時についてくる
128バイトに暗号化されたセッションIDしか知りません。
2ちゃねるからその他の情報の要求があっても提供しません。
セッションIDにはログイン時に入力したログインIDが暗号化されて入っています。
つまりこれが個人情報です。
2ちゃんねるは bbs.cgi 呼び出し時についてくる
128バイトに暗号化されたセッションIDしか知りません。
2ちゃねるからその他の情報の要求があっても提供しません。
948 : ◆MUMUMUhnYI :03/09/15 02:43
ふむ、128バイトに暗号化されたセッションIDが
何らかの方法で「復号可能」だったとすると、いまいちなのか。
で、
> 事実ログインIDが目に見える形で記録されていた時期もありました。
が少し気になってたりして。
何らかの方法で「復号可能」だったとすると、いまいちなのか。
で、
> 事実ログインIDが目に見える形で記録されていた時期もありました。
が少し気になってたりして。
949 : ◆n3D69Zsbfg :03/09/15 02:44
>>945
そですね、
もう一台他のサーバであらしを特定するために
やっていたかも知れませんがその時期と重なっていたかは
記憶していません、すんません。
>>946
NTTec が確かめるのは、2ちゃんねるに対してかと、
そういう噂が広がっているが、信用問題ひいては会社の生死に
かかわる問題なので調査・報告おねがいしますと。
そですね、
もう一台他のサーバであらしを特定するために
やっていたかも知れませんがその時期と重なっていたかは
記憶していません、すんません。
>>946
NTTec が確かめるのは、2ちゃんねるに対してかと、
そういう噂が広がっているが、信用問題ひいては会社の生死に
かかわる問題なので調査・報告おねがいしますと。
950 : ◆QLGSaKuRa2 :03/09/15 02:44
なんで↓の時点で対応しなかったんだろう。。。
●(2チャンネルViewer)買う価値なしです
http://qb.2ch.net/test/read.cgi/accuse/1045978878/428-431
●(2チャンネルViewer)買う価値なしです
http://qb.2ch.net/test/read.cgi/accuse/1045978878/428-431
>>939
ありがとうございます。私も「負荷逆」ってそのまま書いちゃったよ・・・
●認証時には、セッションIDをbbs.cgiに渡している。
しかし、以前は●の情報を記録するようになっていなかった。
(もっと言うと、誰かがログを取ろうとしなければ、残らないはずのものだった)
で、現在はログを残す必要ができた為、セキュリティをあげていると
いうことですね。
ありがとうございます。私も「負荷逆」ってそのまま書いちゃったよ・・・
●認証時には、セッションIDをbbs.cgiに渡している。
しかし、以前は●の情報を記録するようになっていなかった。
(もっと言うと、誰かがログを取ろうとしなければ、残らないはずのものだった)
で、現在はログを残す必要ができた為、セキュリティをあげていると
いうことですね。
952 :名無し草:03/09/15 02:56
>948
メアドと言っているのでidではないと思いますが
それに伏せ字にされている部分は128バイトもあるとは思えませんでしたが
メアドと言っているのでidではないと思いますが
それに伏せ字にされている部分は128バイトもあるとは思えませんでしたが
953 : ◆MUMUMUhnYI :03/09/15 02:59
>>952
●システムでログイン時に入力するログインID = メアド
●システムでログイン時に入力するログインID = メアド
954 :名無し草:03/09/15 03:04
あー、なるつまりは固定のIDか
●もうちょっと安くならないかなー
956 : ◆MUMUMUhnYI :03/09/15 03:07
改めて、
http://qb.2ch.net/saku/kako/1048/10488/1048842048.html の138を読んでみた。
そうか、不可逆でも、もし毎回同じ暗号化がなされているなら、
「同じセッションID」かどうかはわかるのか。
つまり「メアドそのもの」はわからなくても、「同じメアドから暗号化された結果である」
つまり、同じ人が書いたカキコであるということは判定できるのか。
http://qb.2ch.net/saku/kako/1048/10488/1048842048.html の138を読んでみた。
そうか、不可逆でも、もし毎回同じ暗号化がなされているなら、
「同じセッションID」かどうかはわかるのか。
つまり「メアドそのもの」はわからなくても、「同じメアドから暗号化された結果である」
つまり、同じ人が書いたカキコであるということは判定できるのか。
957 : ◆MUMUMUhnYI :03/09/15 03:10
>>956
つまり、同一人特定のためには、
暗号が不可逆であるかどうかは必要条件ではなくて、
セッションIDが同じかどうかがわかればいいと。
しかし、それをセッションIDを見られる人がみだりに公表してしまうのって、
あからさまに法律違反or契約違反なんではないかと。
つまり、同一人特定のためには、
暗号が不可逆であるかどうかは必要条件ではなくて、
セッションIDが同じかどうかがわかればいいと。
しかし、それをセッションIDを見られる人がみだりに公表してしまうのって、
あからさまに法律違反or契約違反なんではないかと。
>>956-957
いや、毎回セッションIDは変わってますよ。少なくともこちらから送信しているデータは変わってる。
日付とかも付加してるんじゃないですか?
そのスレの138の場合はそのままズバリメールアドレスそのもののようですね。
いや、毎回セッションIDは変わってますよ。少なくともこちらから送信しているデータは変わってる。
日付とかも付加してるんじゃないですか?
そのスレの138の場合はそのままズバリメールアドレスそのもののようですね。
>>948
複合は今のところNttec以外は出来ないんじゃないですか?
その点については問題ないかと。
>が少し気になってたりして。
あの事件があった時のqbサーバではログインIDが目に見える形で記録されていたが、
それは当時もqbのみであり、今の時点では一切そのようなことは無い。
と夜勤さんが言ってますよ。
複合は今のところNttec以外は出来ないんじゃないですか?
その点については問題ないかと。
>が少し気になってたりして。
あの事件があった時のqbサーバではログインIDが目に見える形で記録されていたが、
それは当時もqbのみであり、今の時点では一切そのようなことは無い。
と夜勤さんが言ってますよ。
野鳥観察じゃなくてだんご観察になってるやん
961 : ◆MUMUMUhnYI :03/09/15 03:16
>>958
なるほど、そのぐらいは普通のシステムならしてるでしょうね。
日付だとすると、その日のうちは同じセッションIDだったりするので、
特定には使えるのかもしれないですが。
とすると、やはりこれか。
↓
> 事実ログインIDが目に見える形で記録されていた時期もありました。
なるほど、そのぐらいは普通のシステムならしてるでしょうね。
日付だとすると、その日のうちは同じセッションIDだったりするので、
特定には使えるのかもしれないですが。
とすると、やはりこれか。
↓
> 事実ログインIDが目に見える形で記録されていた時期もありました。
削除人の登録してるプロバイダメアドってことでは?
>>960
ざぶとん1枚
ざぶとん1枚
http://oyster.2ch.net/test/read.cgi/maru/1017342735/679-681
俺の書いた妄想文。
SIDに有効期限を付ける為に、日付だけじゃなくて、時刻も記録してんじゃないかな。
実際、ログインするたびにSID変わるから試してみそ。
俺の書いた妄想文。
SIDに有効期限を付ける為に、日付だけじゃなくて、時刻も記録してんじゃないかな。
実際、ログインするたびにSID変わるから試してみそ。
>>962
そういうことでしょ?
削除人として登録しているプロバイダのメールアドレスと、
●で使用しているID=メールアドレスが同じであったと。
で、あの当時は●のIDが素で見られる状態であったと。
>>961
日付だけじゃなくて色々付加してるっぽいです。OpenJaneで完全ログアウトするとそのたびに
セッションIDの情報が変わってますから。
そういうことでしょ?
削除人として登録しているプロバイダのメールアドレスと、
●で使用しているID=メールアドレスが同じであったと。
で、あの当時は●のIDが素で見られる状態であったと。
>>961
日付だけじゃなくて色々付加してるっぽいです。OpenJaneで完全ログアウトするとそのたびに
セッションIDの情報が変わってますから。
966 : ◆MUMUMUhnYI :03/09/15 03:20
>>959
>あの事件があった時のqbサーバではログインIDが目に見える形で記録されていたが、
>それは当時もqbのみであり、今の時点では一切そのようなことは無い。
>と夜勤さんが言ってますよ。
そうすね。(>>949 の通り)
いずれにせよ推測の域を出ない話だし、
qb以外では「生メアド」は記録されていない模様だし、
ここから先はNTTecと2ちゃんねるの間の問題だろうし、
明日も仕事しなきゃならないので、そろそろ寝る準備しようかなと。
>あの事件があった時のqbサーバではログインIDが目に見える形で記録されていたが、
>それは当時もqbのみであり、今の時点では一切そのようなことは無い。
>と夜勤さんが言ってますよ。
そうすね。(>>949 の通り)
いずれにせよ推測の域を出ない話だし、
qb以外では「生メアド」は記録されていない模様だし、
ここから先はNTTecと2ちゃんねるの間の問題だろうし、
明日も仕事しなきゃならないので、そろそろ寝る準備しようかなと。
967 : ◆n3D69Zsbfg :03/09/15 03:23
本人が2ちゃんねる上で事実を明らかにする事を願うばかりです。
結局それが狙いなんだよな
もししなかったらどうなるんでしょう。
別に漏らした(公開した)訳じゃなく、当時の情報を見れる立場にいたトオル君が
見られる情報から推定して○○=××って言っただけじゃないの?
あーある種の公開はしちゃってたか
とりあえず夜勤一派 工作必死だな
見られる情報から推定して○○=××って言っただけじゃないの?
あーある種の公開はしちゃってたか
とりあえず夜勤一派 工作必死だな
突然むむむとか出て来るのもナー
というのが正直な感想。
というのが正直な感想。
972 : ◆MUMUMUhnYI :03/09/15 03:37
973 : ◆QLGSaKuRa2 :03/09/15 03:37
(´-`).。oO(あのメアド発言がなければそう思うけど……)
なにが派閥(ry
自分はすでに一派とかそういう問題じゃなくなってると
思うんだけどな。
自分はすでに一派とかそういう問題じゃなくなってると
思うんだけどな。
>>970
もしそうだったら、ユーザーがNTTecに渡した情報を
2ch(側の人間)が悪用、または個人的な理由で、約款外の利用をしたってことになっちゃうよ
ユーザー側から見れば、NTTecとの間に契約関係があって初めて開示した情報を不正流出させたということになる
もしそうだったら、ユーザーがNTTecに渡した情報を
2ch(側の人間)が悪用、または個人的な理由で、約款外の利用をしたってことになっちゃうよ
ユーザー側から見れば、NTTecとの間に契約関係があって初めて開示した情報を不正流出させたということになる
この辺は荒らし対策の為、改善不可能?
http://oyster.2ch.net/test/read.cgi/maru/1017342735/
666 名前:●[sage] 投稿日:03/09/13 16:25
もし仮に暗号化しても今まで、一人の人物が何を
書き込んだかは管理側の数人は特定出来てしまう罠
IPだけだったら接続変えればその後の追跡不可能だけど
メールなのでログが残っている限り追跡可能な罠
はずかしい書き込みは出来ないですね・・
689 名前:●[sage] 投稿日:03/09/14 04:19
>666
そうなんだよねー、
希望をいうならログインごとに「暗号化された文字列」
が変わるようになって欲しいね。
それならログインしなおせば、どれとどれを同じ人が
書いたんかはわからんくなる。
http://oyster.2ch.net/test/read.cgi/maru/1017342735/
666 名前:●[sage] 投稿日:03/09/13 16:25
もし仮に暗号化しても今まで、一人の人物が何を
書き込んだかは管理側の数人は特定出来てしまう罠
IPだけだったら接続変えればその後の追跡不可能だけど
メールなのでログが残っている限り追跡可能な罠
はずかしい書き込みは出来ないですね・・
689 名前:●[sage] 投稿日:03/09/14 04:19
>666
そうなんだよねー、
希望をいうならログインごとに「暗号化された文字列」
が変わるようになって欲しいね。
それならログインしなおせば、どれとどれを同じ人が
書いたんかはわからんくなる。
夜勤一派も大変だね。
どうやらさんは、結局どう思ってるのかな?
トオルはどうするつもりなのか…
どうやらさんは、結局どう思ってるのかな?
トオルはどうするつもりなのか…
【雑】野鳥観察 part20【談】
http://that.2ch.net/test/read.cgi/nanmin/1063560661/l50
http://that.2ch.net/test/read.cgi/nanmin/1063560661/l50
お金が絡んでるからややこしい話になってる訳?
個人情報なんて本人の気付かないところで漏れっぱなしでしょーが
個人情報なんて本人の気付かないところで漏れっぱなしでしょーが
980 : ◆n3D69Zsbfg :03/09/15 03:51
私に関係する部分は
これくらいでかねぇ
あとは粛々と進めなければならない状況に
私が追い込まれたので、淡々と処理するだけです。
これくらいでかねぇ
あとは粛々と進めなければならない状況に
私が追い込まれたので、淡々と処理するだけです。
> 夜勤一派も大変だね。
だってようじょにチクられてたから
私もつい見にきちゃったよ
普段は馬じゃないのにー
だってようじょにチクられてたから
私もつい見にきちゃったよ
普段は馬じゃないのにー
取り合えずqb鯖だけなんかな?
NTTecの個人情報は夜勤たんは見れる状態なんかな?
複合化の仕方も分かるのかな?
もし、2ちゃねるとNTTecのログを両方見れる人が、
暴走しちゃったらまた同じことにはなるね・・・
まぁ、商売がかかっているので余程のことがない
限りやらないだろけど
NTTecの個人情報は夜勤たんは見れる状態なんかな?
複合化の仕方も分かるのかな?
もし、2ちゃねるとNTTecのログを両方見れる人が、
暴走しちゃったらまた同じことにはなるね・・・
まぁ、商売がかかっているので余程のことがない
限りやらないだろけど
>>979
何に使われるかというのが問題かと。
何に使われるかというのが問題かと。
漏れっぱなしでしたーってのが、ユーザーにわかってしまったら…
985 : ◆QLGSaKuRa2 :03/09/15 03:58
IPログの記録などは例えデータが流出したとしても利用価値は殆ど無く、個人が特定されないため
危険度も低いと思いまつ。 しかし●の場合、購入の際にカードを使用するため個人情報を握られて
しまうことが決定的に違うと思いまつ。
●を使っての発言や過去ログ参照などのアクセス情報を集計され、もしそれが売られでも
したら取り返しのつかない個人情報流出事件になると思うし。
アンケートではなかなか分からない個人の趣味嗜好が記録されているので、メールとセットに
売られでもしたら。。。。。。。。。
今回、ひろゆきがビシッと言ってくれたので少しは安心したけど。。。
危険度も低いと思いまつ。 しかし●の場合、購入の際にカードを使用するため個人情報を握られて
しまうことが決定的に違うと思いまつ。
●を使っての発言や過去ログ参照などのアクセス情報を集計され、もしそれが売られでも
したら取り返しのつかない個人情報流出事件になると思うし。
アンケートではなかなか分からない個人の趣味嗜好が記録されているので、メールとセットに
売られでもしたら。。。。。。。。。
今回、ひろゆきがビシッと言ってくれたので少しは安心したけど。。。
>>944
まー、実際第三者になにかが漏れたわけじゃなくて、
例の日時に2ちゃんねるというトオルという人物が、 NTtec の管理資産
であるところの●のログイン ID と目されるメールアドレスらしき文字列
から書き込み内容が同一者であるらしいことを指摘した
だけだから、あの事件で失われたものは
・ NTtec <-> 2ちゃんねる間の信用
・ 2ちゃんねるの匿名性への信用
だけじゃないかな。
俺にとっちゃ後者のほうが嘆かわしかったですな当時。
まー、実際第三者になにかが漏れたわけじゃなくて、
例の日時に2ちゃんねるというトオルという人物が、 NTtec の管理資産
であるところの●のログイン ID と目されるメールアドレスらしき文字列
から書き込み内容が同一者であるらしいことを指摘した
だけだから、あの事件で失われたものは
・ NTtec <-> 2ちゃんねる間の信用
・ 2ちゃんねるの匿名性への信用
だけじゃないかな。
俺にとっちゃ後者のほうが嘆かわしかったですな当時。
989 : ◆n3D69Zsbfg :03/09/15 04:00
>>982
それは私にすら見れない、
そりゃ物理的には、人の会社の金庫の中に入っているものですら
見えるという人もいるかも知れないけど、
私ですら犯罪を犯さなきゃ(ログインIDですら)見れない。
システム構築の段階で、作業をたのまれた場合は見えることもある。
それは私にすら見れない、
そりゃ物理的には、人の会社の金庫の中に入っているものですら
見えるという人もいるかも知れないけど、
私ですら犯罪を犯さなきゃ(ログインIDですら)見れない。
システム構築の段階で、作業をたのまれた場合は見えることもある。
書き込み内容が同一者ってなんだ>俺
複数のレスを書き込んだのが同一人物ってことね
複数のレスを書き込んだのが同一人物ってことね
>>976
それはあまり関係ないんじゃない?
ID単位で規制する場合はID自体を無効にしてしまえばすむことでしょ?
「ログインごとに暗号化された文字列が変わる」ようにしても、何の問題も無いでしょ?
暗号化されているとはいえ復号化すればIDの登録情報がわかるわけだし。
ID自体を無効にすればすむことかと。
ただ、今の時点ではNttecで規制するんじゃなくて2ちゃんねるの方で規制するテストをしている
みたいだから、2ちゃんねるでの規制となると難しいのかもね。
でも、2ちゃんねるで●の規制をしようというのがそもそもの間違いだと思うが。
Nttecは2ちゃんねるからの要求に迅速にこたえる義務があると思う。
だから2ちゃんねる側からNttecへ細かく規制要求すれば良いんだよ。
リアルタイム性は失われるから自動規制は出来ないけど。
それはあまり関係ないんじゃない?
ID単位で規制する場合はID自体を無効にしてしまえばすむことでしょ?
「ログインごとに暗号化された文字列が変わる」ようにしても、何の問題も無いでしょ?
暗号化されているとはいえ復号化すればIDの登録情報がわかるわけだし。
ID自体を無効にすればすむことかと。
ただ、今の時点ではNttecで規制するんじゃなくて2ちゃんねるの方で規制するテストをしている
みたいだから、2ちゃんねるでの規制となると難しいのかもね。
でも、2ちゃんねるで●の規制をしようというのがそもそもの間違いだと思うが。
Nttecは2ちゃんねるからの要求に迅速にこたえる義務があると思う。
だから2ちゃんねる側からNttecへ細かく規制要求すれば良いんだよ。
リアルタイム性は失われるから自動規制は出来ないけど。
●買う奴は負け組なんだからいいじゃんとか言ってみる
そろそろ埋めてみる
>>982
今はもうqbでも素で記録はしていないみたいだよ。
>>985
基本的にもれる可能性があるのはID=メールアドレスのみかと。
そのほかの個人情報は普通に2ちゃんねるとのやり取り(読み書き)をしている分には
原理的に漏洩するはずが無いから。
今はもうqbでも素で記録はしていないみたいだよ。
>>985
基本的にもれる可能性があるのはID=メールアドレスのみかと。
そのほかの個人情報は普通に2ちゃんねるとのやり取り(読み書き)をしている分には
原理的に漏洩するはずが無いから。
この辺ユーザーの不安を消してくれるように、
対策後の情報公開だけはして欲しいね。
どっちも。
対策後の情報公開だけはして欲しいね。
どっちも。
キタ━━(゚∀゚)━( ゚∀)━( ゚)━( )━(゚ )━(∀゚ )━(゚∀゚)━━!!!!!
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。