【SNS】openpne
928 :nobodyさん:
今回の対応とその他にて、ちょっと一言。
昨日の件もあるけど、OpenPNEにはそれより重大な問題が1つ潜んでいる。
個人情報が流出する可能性があるのに、手嶋屋は正式にアナウンスしていない。
この会社OpenPNEユーザーをどう考えてるんだ?
昨日の件もあるけど、OpenPNEにはそれより重大な問題が1つ潜んでいる。
個人情報が流出する可能性があるのに、手嶋屋は正式にアナウンスしていない。
この会社OpenPNEユーザーをどう考えてるんだ?
|
|
|
>>個人情報が流出する可能性があるのに
kwsk
kwsk
まぁメールアドレスが管理画面から簡単に見えちゃうのは問題だよね。
私なら暗号化してDBに記録して管理画面にも表示しないようにするところだけど。
2chSNSなどもう5000人越えちゃったから、個人情報保護法の対象になっちゃった。
私なら暗号化してDBに記録して管理画面にも表示しないようにするところだけど。
2chSNSなどもう5000人越えちゃったから、個人情報保護法の対象になっちゃった。
個人情報をなるべる集めないで〜みたいなレベルで考えてるんだよね
そこがかなり怖い
そこがかなり怖い
個人運営だとしても個人情報保護法の対象?
>>私なら暗号化してDBに記録して管理画面にも表示しないようにするところだけど。
これには賛成かな。でもアプリからメールを送るときなどは
復号化しないといけないからその気になれば簡単に解っちゃう
>>930
DBで暗号化は無駄だな
確認メールを送ったりしなければならないから可逆となる暗号化しかできないし
何もしないよりはマシだけど、コストが無駄に増えるだけな気がする
可逆でなくても照合さえ出来ればOKなパスワードとは違うのが難点
ただし、管理画面で表示を伏せるというのは意義のある事だと思うよ
DBで暗号化は無駄だな
確認メールを送ったりしなければならないから可逆となる暗号化しかできないし
何もしないよりはマシだけど、コストが無駄に増えるだけな気がする
可逆でなくても照合さえ出来ればOKなパスワードとは違うのが難点
ただし、管理画面で表示を伏せるというのは意義のある事だと思うよ
複合できなきゃ暗号とはいわねーだろ
>>934は一方向ハッシュを暗号化と勘違いしてる希ガス
暗号には可逆暗号と不可逆暗号があるぞ。
ただの誤用だけどね。
管理者は神仕様です
mixiまるパクリのスキンってどこかにない?
>>940
デフォルトでかなりまるパクリだと思うが・・・
デフォルトでかなりまるパクリだと思うが・・・
設置しているSNSに突然ログインできなくなった。
これってバグなのかなぁ・・・
これってバグなのかなぁ・・・
ちなみに、Ver.1.6.3にアップデートしたばかり。
ついさっきまでログインできていて、突然。
他の方も入れない状況。管理画面も入れない。
ついさっきまでログインできていて、突然。
他の方も入れない状況。管理画面も入れない。
>>943
それぐらい調べなよ・・・
それぐらい調べなよ・・・
>>942
面白そうだからdiff -rとってみた。1.6と1.6.3で。
0.0.2の差とはいえあちこち書き換えされてるね。
機能追加というよりは冗長なソースを整理しただけっぽいけど。
で、それっぽい箇所を発見した。
画像の拡張子を調べるとこでimgcreatefromgifを呼び出してるんだが
呼び出しする意味が無い。1.6.0ではファイル名から拡張子を判断してるのに、
1.6.2ではそれをやめて無駄な画像生成をしてる。
これは恐らく画像の正当性を確認してるんだろうと推測。XSS対策と見た。
面白そうだからdiff -rとってみた。1.6と1.6.3で。
0.0.2の差とはいえあちこち書き換えされてるね。
機能追加というよりは冗長なソースを整理しただけっぽいけど。
で、それっぽい箇所を発見した。
画像の拡張子を調べるとこでimgcreatefromgifを呼び出してるんだが
呼び出しする意味が無い。1.6.0ではファイル名から拡張子を判断してるのに、
1.6.2ではそれをやめて無駄な画像生成をしてる。
これは恐らく画像の正当性を確認してるんだろうと推測。XSS対策と見た。
推測正解!
PNEなサイトで実際試してみたが、クッキーを抜くJavaScript入り画像を
アップロードできた。これってモロにセキュリティホールだぜ?
緊急対応させるべきだろうに、通常のマイナーバージョンアップ扱いか。
ちょっとどうかと思うなあ、それ。
PNEなサイトで実際試してみたが、クッキーを抜くJavaScript入り画像を
アップロードできた。これってモロにセキュリティホールだぜ?
緊急対応させるべきだろうに、通常のマイナーバージョンアップ扱いか。
ちょっとどうかと思うなあ、それ。
はいはいそうだね
この障害はこちらのハードウェア障害によるものでした・・・
ご迷惑をおかけ致しました。
ご迷惑をおかけ致しました。
〉948
〉はいはいそうだね
で済まされる問題ではないと思うんだが。
〉はいはいそうだね
で済まされる問題ではないと思うんだが。
リスクを計りに掛けて、こういうとこが増えてくるだろうね。。
------------------------------------
BSNネットファン組織廃止
BSN新潟放送は30日、インターネットを用いた同局ファンの会員制組織
「B.Net Club」を年内で廃止すると発表した。
類似組織の廃止は県内民放テレビ局で初めて。
個人情報保護法施行により、流出リスクを回避することなどが理由。
http://www.niigata-nippo.co.jp/news/index.asp?id=2005120129399
------------------------------------
BSNネットファン組織廃止
BSN新潟放送は30日、インターネットを用いた同局ファンの会員制組織
「B.Net Club」を年内で廃止すると発表した。
類似組織の廃止は県内民放テレビ局で初めて。
個人情報保護法施行により、流出リスクを回避することなどが理由。
http://www.niigata-nippo.co.jp/news/index.asp?id=2005120129399
openpne の脆弱性で情報流出したら誰の責任になるの?
そりゃ運営者でしょうね。
いわゆるお寿司屋さん理論。寿司屋で食った寿司のネタについて、客は
魚を釣った漁師の責任を直接追及することはない。そのお寿司屋さんが
責任を持つはず。
個人情報保護法第二十条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は
き損の防止その他の個人データの安全管理のために必要かつ適切な
措置を講じなければならない。
漏れが受けた講習では、サーバーのハッキングなどにも充分な注意を
払う必要があるし、データもできるだけ暗号化しておく必要があると
言われた。この付近はまだガイドラインが固まる前だったから、その後
少し空気は柔らかくなったかもしれないが。
いわゆるお寿司屋さん理論。寿司屋で食った寿司のネタについて、客は
魚を釣った漁師の責任を直接追及することはない。そのお寿司屋さんが
責任を持つはず。
個人情報保護法第二十条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は
き損の防止その他の個人データの安全管理のために必要かつ適切な
措置を講じなければならない。
漏れが受けた講習では、サーバーのハッキングなどにも充分な注意を
払う必要があるし、データもできるだけ暗号化しておく必要があると
言われた。この付近はまだガイドラインが固まる前だったから、その後
少し空気は柔らかくなったかもしれないが。
責任は運営者だな。
PNE開発者に対しては、オープンソースだし責任ないけど、
信用は暴落するよね。
PNE開発者に対しては、オープンソースだし責任ないけど、
信用は暴落するよね。
955 :nobodyさん:2005/12/02(金) 10:14:42 ID:s8WWjbDc
手嶋屋はクロスサイトスクリプトの危険性をちゃんと告知してない
1.8がリリースされれば皆アップグレードするだろうからと問題をもみ消している
手嶋守社長 それで良いのか?
1.8がリリースされれば皆アップグレードするだろうからと問題をもみ消している
手嶋守社長 それで良いのか?
ここでうだうだ言ってないでさっさとCERT/CCにでもチクれば?キモス
素人運営者だけど、
規約やポリシーの中で
「OpenPNE側による情報流出・損失に関しては一切の責務を負いません」
と一言入れておくのはダメなの?全く意味を持たない?そりゃ何かあったら信用失墜はまぬがれないが…
規約やポリシーの中で
「OpenPNE側による情報流出・損失に関しては一切の責務を負いません」
と一言入れておくのはダメなの?全く意味を持たない?そりゃ何かあったら信用失墜はまぬがれないが…
>>957
んなの通用するわけないでしょ
んなの通用するわけないでしょ
知ってて流布すれば犯罪だろ。
>>947
>PNEなサイトで実際試してみたが、
>クッキーを抜くJavaScript入り画像を
JavaScript入り画像どうやって造るの?
サンプルありますか?
と、対策ってどうすればよろしいのでしょうか?
>PNEなサイトで実際試してみたが、
>クッキーを抜くJavaScript入り画像を
JavaScript入り画像どうやって造るの?
サンプルありますか?
と、対策ってどうすればよろしいのでしょうか?
大流行したじゃん
専ブラでガンガン踏んだよ
専ブラでガンガン踏んだよ
>>960
一番ベストな方法はファイルフォーマットを調べて、正常な規格内のデータか調べること。
余分なコメントデータとかは捨てると尚よし。
これなら、一時期流行った画像デコーダの不具合なブラクラも回避できるし将来的にも安心だが、手間が掛かって面倒
もしかしたらそういうライブラリがあるかもしれないが、探してないので不明
現在のOpenPNEはサムネ画像を作るプログラム走らせて、画像を作り直すことで対処してるぽい
難点はサムネ生成プログラムにバグがあった時に色々悪さをされる可能性がある事か?
オプソ系はすぐに攻略コードが出回る傾向があるから、自分で各種ライブラリのアンテナ張っておかないと死ねかもしれね
一番ベストな方法はファイルフォーマットを調べて、正常な規格内のデータか調べること。
余分なコメントデータとかは捨てると尚よし。
これなら、一時期流行った画像デコーダの不具合なブラクラも回避できるし将来的にも安心だが、手間が掛かって面倒
もしかしたらそういうライブラリがあるかもしれないが、探してないので不明
現在のOpenPNEはサムネ画像を作るプログラム走らせて、画像を作り直すことで対処してるぽい
難点はサムネ生成プログラムにバグがあった時に色々悪さをされる可能性がある事か?
オプソ系はすぐに攻略コードが出回る傾向があるから、自分で各種ライブラリのアンテナ張っておかないと死ねかもしれね
>>957
その前に5000人規模の利用者を集めなきゃな。
その前に5000人規模の利用者を集めなきゃな。
>>964
とりあえず大台を超えたのは、2ちゃんねるSNSとOtabaとFilnの3つで全部?
とりあえず大台を超えたのは、2ちゃんねるSNSとOtabaとFilnの3つで全部?
1-6-3 でJavaScript入り画像の問題は大丈夫だ。色々画像つっこんでみたんだけど。
これからSQLインジェクションやってみるわ。なんかあったらうpしとく。
これからSQLインジェクションやってみるわ。なんかあったらうpしとく。
967 :nobodyさん:2005/12/04(日) 18:21:45 ID:NCeiV+5s
12月バグは日記の表示だけでも発生する。
あっというまにスワップを食いつぶす。
あっというまにスワップを食いつぶす。
ほんとうに2chSNSって5000人もいるのですか?
閑散としてる気がします
閑散としてる気がします
現在7599人
971 :ひろゆき:2005/12/05(月) 15:20:11 ID:kIF0EAx9 BE:177247-###
一定期間アクセスしてないユーザーは削除しちゃえばいいのにねぇ。>2chSNS
ポテンシャルユーザーと思わない方がいいよ。そういうのは。
ポテンシャルユーザーと思わない方がいいよ。そういうのは。
つーか、2ch-SNSは、あまりに重すぎて、ログインする気力がなくなった人が
多いんだと思う。SNS自体のコンセプトも不明確だしね。
多いんだと思う。SNS自体のコンセプトも不明確だしね。
>>975
所詮自己申告でしょ?
所詮自己申告でしょ?
>975-976
トラフィックならAlexaのデータからだいたい推測できるけどね。
今だいたい2万PV/dayくらいでしょう。
Vippers SNSもだいたい同じくらいだけど、勢いでは肉薄されているね。
トラフィックならAlexaのデータからだいたい推測できるけどね。
今だいたい2万PV/dayくらいでしょう。
Vippers SNSもだいたい同じくらいだけど、勢いでは肉薄されているね。
たった今設置してみますた。
日記関係のページを見ると、無限ループしているようなのですが…
こんな症状あった方います?
日記関係のページを見ると、無限ループしているようなのですが…
こんな症状あった方います?
お前ちょっとでも上を読んだのかよ
このスレも大往生を迎えようとしてますなあ
次スレ立てないと落ちるぞ
たいへんだ1000行かなかったら成仏できないよ!
PNE、フレームワーク導入したほうがいいのでは
ってか、導入する話どうなった?
いまんとこ選択肢といえば
EthnaとMojaviとMapleの3つだよな。
ってか、導入する話どうなった?
いまんとこ選択肢といえば
EthnaとMojaviとMapleの3つだよな。
そろそろ独自の機能の方に着手して欲しいな
社内のグループウェア用にちょっといじらせてもらいますね
GPLだからソースはどこかで公開しますけど
GPLだからソースはどこかで公開しますけど
公開不要
GPLを勘違いしてるな
GPLでは改変版を頒布する場合はソースの添付が必要。
頒布しないで自分のところで使うだけならソース公開は不要。
というか社内のグループウェアで作るなら、管理用のページ名とかを変えて
侵入されにくくしたほうがいいよ。
頒布しないで自分のところで使うだけならソース公開は不要。
というか社内のグループウェアで作るなら、管理用のページ名とかを変えて
侵入されにくくしたほうがいいよ。
mixi日記を取り込む機能が欲しいんですが
(mixiと重複で登録してるユーザが多くて、
日記を両方に書くのが面倒らしくてアクセスが伸びない。。)
こういう機能ってどうでしょう?
(mixiと重複で登録してるユーザが多くて、
日記を両方に書くのが面倒らしくてアクセスが伸びない。。)
こういう機能ってどうでしょう?
一応クローズドなmixi内の日記を、他のサイトに転載したらまずいんでない?
あなたが作っているSNSには登録しているが、mixiには登録していないユーザにも
読まれることになっちゃう。まぁ、そこは個人の設定に任せれば良いが。
SNS内の日記をRSSでやり取りする方法も考えられるけど、セキュリティがめんどそう。
> (mixiと重複で登録してるユーザが多くて、
> 日記を両方に書くのが面倒らしくてアクセスが伸びない。。)
そのサイトの特性次第だと思うけどね。
あんまり特徴ないと「だったらmixiでいいじゃん」論になってしまうきがす。
あなたが作っているSNSには登録しているが、mixiには登録していないユーザにも
読まれることになっちゃう。まぁ、そこは個人の設定に任せれば良いが。
SNS内の日記をRSSでやり取りする方法も考えられるけど、セキュリティがめんどそう。
> (mixiと重複で登録してるユーザが多くて、
> 日記を両方に書くのが面倒らしくてアクセスが伸びない。。)
そのサイトの特性次第だと思うけどね。
あんまり特徴ないと「だったらmixiでいいじゃん」論になってしまうきがす。
誰か次スレよろ
993 :nobodyさん:2005/12/07(水) 12:06:20 ID:f5v1knp8
>>991
レスどうもです。
仕組みとしては、個人の設定でmixiのログインIDとパスワードを設定しておけば
自動で取りに行き、SNS内に溜め込むようにすればいいと思うんですが。
そしたら、公開してるのは個人の自由って事になるので。
SNSの独自性ですか…
ハックしてないのでOpenPNEの既存の機能に独自のプロフィール追加しただけ。
これじゃダメかな。
あるプロスポーツチームのファン用SNSなんですが。
レスどうもです。
仕組みとしては、個人の設定でmixiのログインIDとパスワードを設定しておけば
自動で取りに行き、SNS内に溜め込むようにすればいいと思うんですが。
そしたら、公開してるのは個人の自由って事になるので。
SNSの独自性ですか…
ハックしてないのでOpenPNEの既存の機能に独自のプロフィール追加しただけ。
これじゃダメかな。
あるプロスポーツチームのファン用SNSなんですが。
994 :nobodyさん:2005/12/07(水) 14:26:13 ID:PZJRr1iG
- OpenPNE Users Forum
http://www.b-side.com/opusers/
http://www.b-side.com/opusers/
>>995
しなくて良い
しなくて良い
>>997
GPLはそうだけど、OpenPNEは商用ライセンスがあると、どっかに書いてた。
GPLはそうだけど、OpenPNEは商用ライセンスがあると、どっかに書いてた。
1000
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。