セキュリティ板自治議論スレッド 2
何か勘違いしている人がいるなぁ。。。。。
IDからIPアドレスを推定できるかどーかを議論してたんじゃなくって。
既知のIPアドレスからIDを推定して、2ch上のIDから個人識別ができるか否か、と言う話なんですが。
1)2chがハックされる
→これはダメでしょ、論外。
2)BBS.CGIが流出
→これは微妙な可能性の問題。(3)がヒットしたケースになる。
3)bbs.cgiのID生成に関する部分を、誰かが知ってしまった
→昔の流出当時のスクリプトをそのまま使っているとは考えづらく。
→またスーパーハッカーが居たとしても、推量が当たっているのかどうかの検証は難しい。
#(3)に到達して突破されるのは、極めて難しいレアケースでしょう。
IDからIPアドレスを推定できるかどーかを議論してたんじゃなくって。
既知のIPアドレスからIDを推定して、2ch上のIDから個人識別ができるか否か、と言う話なんですが。
1)2chがハックされる
→これはダメでしょ、論外。
2)BBS.CGIが流出
→これは微妙な可能性の問題。(3)がヒットしたケースになる。
3)bbs.cgiのID生成に関する部分を、誰かが知ってしまった
→昔の流出当時のスクリプトをそのまま使っているとは考えづらく。
→またスーパーハッカーが居たとしても、推量が当たっているのかどうかの検証は難しい。
#(3)に到達して突破されるのは、極めて難しいレアケースでしょう。
|
|
|
246 :cheshire-cat ◆CATBCJABLA :03/08/28 19:48
で。数日前からのrand関数の話はですね。
もし(3)を(万が一)突破された時、匿名性を維持できるのか否かという問題で。
sysread(RANDOM, $data, 16);の部分がちゃんと機能してるのか。
そしてランダムな数値が本当に16バイトなのか、それとも極限られた桁数になってしまうのかという話をしているんですが。
例えば不慮の事故?でプールがクリアされたり、不具合のためにですね。
十分な量の乱数がサプライされなくなる可能性はあるのか、と。
#sysread(RANDOM, $data, 16);がミソで。
ただ実際に検証するためにはですね。
現在利用されている2chスクリプトを入手して、今はどーなっているのかを考える必要があります。
#ちなみにRedhat上で小物作ってrand()をやったらですね。
#0.2とかのアレな数字から十分な冗長さのランダムな数値まで、メチャ多様でして。
#結局2chスクリプトを実際に運営しているじゃないんで、こちらではリスクは判別できません。
もし(3)を(万が一)突破された時、匿名性を維持できるのか否かという問題で。
sysread(RANDOM, $data, 16);の部分がちゃんと機能してるのか。
そしてランダムな数値が本当に16バイトなのか、それとも極限られた桁数になってしまうのかという話をしているんですが。
例えば不慮の事故?でプールがクリアされたり、不具合のためにですね。
十分な量の乱数がサプライされなくなる可能性はあるのか、と。
#sysread(RANDOM, $data, 16);がミソで。
ただ実際に検証するためにはですね。
現在利用されている2chスクリプトを入手して、今はどーなっているのかを考える必要があります。
#ちなみにRedhat上で小物作ってrand()をやったらですね。
#0.2とかのアレな数字から十分な冗長さのランダムな数値まで、メチャ多様でして。
#結局2chスクリプトを実際に運営しているじゃないんで、こちらではリスクは判別できません。