928 :
nobodyさん:
今回の対応とその他にて、ちょっと一言。
昨日の件もあるけど、OpenPNEにはそれより重大な問題が1つ潜んでいる。
個人情報が流出する可能性があるのに、手嶋屋は正式にアナウンスしていない。
この会社OpenPNEユーザーをどう考えてるんだ?
>>個人情報が流出する可能性があるのに
kwsk
まぁメールアドレスが管理画面から簡単に見えちゃうのは問題だよね。
私なら暗号化してDBに記録して管理画面にも表示しないようにするところだけど。
2chSNSなどもう5000人越えちゃったから、個人情報保護法の対象になっちゃった。
個人情報をなるべる集めないで〜みたいなレベルで考えてるんだよね
そこがかなり怖い
個人運営だとしても個人情報保護法の対象?
>>私なら暗号化してDBに記録して管理画面にも表示しないようにするところだけど。
これには賛成かな。でもアプリからメールを送るときなどは
復号化しないといけないからその気になれば簡単に解っちゃう
>>930 DBで暗号化は無駄だな
確認メールを送ったりしなければならないから可逆となる暗号化しかできないし
何もしないよりはマシだけど、コストが無駄に増えるだけな気がする
可逆でなくても照合さえ出来ればOKなパスワードとは違うのが難点
ただし、管理画面で表示を伏せるというのは意義のある事だと思うよ
複合できなきゃ暗号とはいわねーだろ
>>934は一方向ハッシュを暗号化と勘違いしてる希ガス
暗号には可逆暗号と不可逆暗号があるぞ。
ただの誤用だけどね。
管理者は神仕様です
mixiまるパクリのスキンってどこかにない?
>>940 デフォルトでかなりまるパクリだと思うが・・・
>>928 >個人情報が流出する可能性があるのに、
それって、
># アップロード画像のチェックを強化(セキュリティ対策)
># ログイン時の認証チェックを強化
これと関係ある?
設置しているSNSに突然ログインできなくなった。
これってバグなのかなぁ・・・
ちなみに、Ver.1.6.3にアップデートしたばかり。
ついさっきまでログインできていて、突然。
他の方も入れない状況。管理画面も入れない。
>>942 面白そうだからdiff -rとってみた。1.6と1.6.3で。
0.0.2の差とはいえあちこち書き換えされてるね。
機能追加というよりは冗長なソースを整理しただけっぽいけど。
で、それっぽい箇所を発見した。
画像の拡張子を調べるとこでimgcreatefromgifを呼び出してるんだが
呼び出しする意味が無い。1.6.0ではファイル名から拡張子を判断してるのに、
1.6.2ではそれをやめて無駄な画像生成をしてる。
これは恐らく画像の正当性を確認してるんだろうと推測。XSS対策と見た。
推測正解!
PNEなサイトで実際試してみたが、クッキーを抜くJavaScript入り画像を
アップロードできた。これってモロにセキュリティホールだぜ?
緊急対応させるべきだろうに、通常のマイナーバージョンアップ扱いか。
ちょっとどうかと思うなあ、それ。
はいはいそうだね
この障害はこちらのハードウェア障害によるものでした・・・
ご迷惑をおかけ致しました。
〉948
〉はいはいそうだね
で済まされる問題ではないと思うんだが。
openpne の脆弱性で情報流出したら誰の責任になるの?
そりゃ運営者でしょうね。
いわゆるお寿司屋さん理論。寿司屋で食った寿司のネタについて、客は
魚を釣った漁師の責任を直接追及することはない。そのお寿司屋さんが
責任を持つはず。
個人情報保護法第二十条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は
き損の防止その他の個人データの安全管理のために必要かつ適切な
措置を講じなければならない。
漏れが受けた講習では、サーバーのハッキングなどにも充分な注意を
払う必要があるし、データもできるだけ暗号化しておく必要があると
言われた。この付近はまだガイドラインが固まる前だったから、その後
少し空気は柔らかくなったかもしれないが。
責任は運営者だな。
PNE開発者に対しては、オープンソースだし責任ないけど、
信用は暴落するよね。
955 :
nobodyさん:2005/12/02(金) 10:14:42 ID:s8WWjbDc
手嶋屋はクロスサイトスクリプトの危険性をちゃんと告知してない
1.8がリリースされれば皆アップグレードするだろうからと問題をもみ消している
手嶋守社長 それで良いのか?
ここでうだうだ言ってないでさっさとCERT/CCにでもチクれば?キモス
素人運営者だけど、
規約やポリシーの中で
「OpenPNE側による情報流出・損失に関しては一切の責務を負いません」
と一言入れておくのはダメなの?全く意味を持たない?そりゃ何かあったら信用失墜はまぬがれないが…
知ってて流布すれば犯罪だろ。
>>947 >PNEなサイトで実際試してみたが、
>クッキーを抜くJavaScript入り画像を
JavaScript入り画像どうやって造るの?
サンプルありますか?
と、対策ってどうすればよろしいのでしょうか?
大流行したじゃん
専ブラでガンガン踏んだよ
>>960 作り方はググればいっぱい出てくる。
対策は画像を読み込んで文字列マッチングするとか色々。
>>960 一番ベストな方法はファイルフォーマットを調べて、正常な規格内のデータか調べること。
余分なコメントデータとかは捨てると尚よし。
これなら、一時期流行った画像デコーダの不具合なブラクラも回避できるし将来的にも安心だが、手間が掛かって面倒
もしかしたらそういうライブラリがあるかもしれないが、探してないので不明
現在のOpenPNEはサムネ画像を作るプログラム走らせて、画像を作り直すことで対処してるぽい
難点はサムネ生成プログラムにバグがあった時に色々悪さをされる可能性がある事か?
オプソ系はすぐに攻略コードが出回る傾向があるから、自分で各種ライブラリのアンテナ張っておかないと死ねかもしれね
>>957 その前に5000人規模の利用者を集めなきゃな。
>>964 とりあえず大台を超えたのは、2ちゃんねるSNSとOtabaとFilnの3つで全部?
1-6-3 でJavaScript入り画像の問題は大丈夫だ。色々画像つっこんでみたんだけど。
これからSQLインジェクションやってみるわ。なんかあったらうpしとく。
967 :
nobodyさん:2005/12/04(日) 18:21:45 ID:NCeiV+5s
12月バグは日記の表示だけでも発生する。
あっというまにスワップを食いつぶす。
ほんとうに2chSNSって5000人もいるのですか?
閑散としてる気がします
現在7599人
>>968 様子見のために捨てアドで登録だけして放置って人が
ほとんどでしょ。
俺ももうみてないし
971 :
ひろゆき:2005/12/05(月) 15:20:11 ID:kIF0EAx9 BE:177247-###
>>922 たたき台通りで動いたです。
どうもですー。
一定期間アクセスしてないユーザーは削除しちゃえばいいのにねぇ。>2chSNS
ポテンシャルユーザーと思わない方がいいよ。そういうのは。
つーか、2ch-SNSは、あまりに重すぎて、ログインする気力がなくなった人が
多いんだと思う。SNS自体のコンセプトも不明確だしね。
>>972 企業がやってるサイトだし、捨てアドでもなんでも
数が多ければいいと思ってるはず。
プレスリリースするときにその数をユーザ数として
発表するわけだし
>>974 「1ユーザーの常駐時間」とか「ユーザーの平均リピート間隔」を出すことになったら
メッキがはがれるだけなんだけどね。
>975-976
トラフィックならAlexaのデータからだいたい推測できるけどね。
今だいたい2万PV/dayくらいでしょう。
Vippers SNSもだいたい同じくらいだけど、勢いでは肉薄されているね。
たった今設置してみますた。
日記関係のページを見ると、無限ループしているようなのですが…
こんな症状あった方います?
お前ちょっとでも上を読んだのかよ
このスレも大往生を迎えようとしてますなあ
次スレ立てないと落ちるぞ
たいへんだ1000行かなかったら成仏できないよ!
PNE、フレームワーク導入したほうがいいのでは
ってか、導入する話どうなった?
いまんとこ選択肢といえば
EthnaとMojaviとMapleの3つだよな。
そろそろ独自の機能の方に着手して欲しいな
社内のグループウェア用にちょっといじらせてもらいますね
GPLだからソースはどこかで公開しますけど
公開不要
GPLを勘違いしてるな
GPLでは改変版を頒布する場合はソースの添付が必要。
頒布しないで自分のところで使うだけならソース公開は不要。
というか社内のグループウェアで作るなら、管理用のページ名とかを変えて
侵入されにくくしたほうがいいよ。
mixi日記を取り込む機能が欲しいんですが
(mixiと重複で登録してるユーザが多くて、
日記を両方に書くのが面倒らしくてアクセスが伸びない。。)
こういう機能ってどうでしょう?
一応クローズドなmixi内の日記を、他のサイトに転載したらまずいんでない?
あなたが作っているSNSには登録しているが、mixiには登録していないユーザにも
読まれることになっちゃう。まぁ、そこは個人の設定に任せれば良いが。
SNS内の日記をRSSでやり取りする方法も考えられるけど、セキュリティがめんどそう。
> (mixiと重複で登録してるユーザが多くて、
> 日記を両方に書くのが面倒らしくてアクセスが伸びない。。)
そのサイトの特性次第だと思うけどね。
あんまり特徴ないと「だったらmixiでいいじゃん」論になってしまうきがす。
誰か次スレよろ
993 :
nobodyさん:2005/12/07(水) 12:06:20 ID:f5v1knp8
>>991 レスどうもです。
仕組みとしては、個人の設定でmixiのログインIDとパスワードを設定しておけば
自動で取りに行き、SNS内に溜め込むようにすればいいと思うんですが。
そしたら、公開してるのは個人の自由って事になるので。
SNSの独自性ですか…
ハックしてないのでOpenPNEの既存の機能に独自のプロフィール追加しただけ。
これじゃダメかな。
あるプロスポーツチームのファン用SNSなんですが。
994 :
nobodyさん:2005/12/07(水) 14:26:13 ID:PZJRr1iG
>>989 頒布ってどこまでが範囲?
mixiみたいにユーザにサービス提供したらソース公開しないとだめ?
>>996 あ、そうなんだ。んじゃ、どこかの客に納入したりしたら
その客以外にもソースを公開しないと駄目なんかな?
>>997 GPLはそうだけど、OpenPNEは商用ライセンスがあると、どっかに書いてた。
1000
1001 :
1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。