過去ログ表示


過去ログ 36 を表示

トピック内全 43 記事中の 31 〜 40 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1] [2] [3] [4]

Re[14]: 商用ソフトと勘違いされていませんか?
(#5192) このトピック中31番目の投稿

> 中満と申します.
>
>>ここでのBBSに限って言えば、ログの流出の可能性を充分に知っていながら、それを放置すればそれは管理責任を問われるのは当たり前の話なのではないですか?
>
> 全部の書き込みを読んだ訳ではないのですが,単に把握できてなかったのではなく,
> 十分にご存じで放置だったのですか?

仮定の話です。正確には知っていて、対策中であるが、ログ流出の可能性を一般ユーザーによく分かるように開示してないというところです。



>
>>起こりうる事態(この場合ログ流出です)を知っていながら放置し、免責事項だけを明記してたとなると管理者としての資質が問われるでしょう。今回の場合、ここの管理者は皆が安心してBBSを修正していくことをメール(#5150)で約束しています。もちろん充分期待をしてますが、100%の安全性を提供できないのが現実なら、せめてこのBBSのトップにBBSの利用にあたって想定できる危険を明示するべきだといってるのです。BBS本来の機能改善はもちろんのこと危険性の開示は必須だとおもいます。農協アンダーグラウンドさんの庖丁話に対校して例えてみると、整髪料としてつかってるスプレー缶には『プロパンガス使用火気厳禁』と書いてあるでしょう。例え分かりきった話であっても責任者なら危険の開示をしておく義務があると思います。
>
> 仰っている「安全性」の意味がよく分かりません.
#5137を読んで下さい。このスレッドは長いですから、とりあえず全部目を通さないと切れ切れでは誤解されそうです。

> 政治団体などのサイトでメールアドレスが漏洩した場合には確かに投稿者に不利益が発生する場合もあります.
>
> 「安全性」=「スパムメールが来ないこと」を意図されているのでしたら,メールアドレスを書き込まないことがあなたの危機管理です.
> 少なくとも私は,あるサイトでメールアドレスを書き込めば,宣伝メールやスパムメールが来るかもしれないということを予測しています.

私もそれぐらいの予測は当然してます。今回の場合返信通知を受け取るためにメールアドレスを書き込み非公開にしてたんです。

> 商用の場でも無いのに,全ての危機管理を管理者に押しつけるのはいかがなものかと.それほど不利益を被ったのですか?

全部読んでから書き込んで下さい。いちいちここでかきこんだら無駄に長引きます。


Re[15]: 商用ソフトと勘違いされていませんか?
(#5196) このトピック中32番目の投稿

このスレッド全部読みました。
parsley のお気持ちは、よくわかりますが、とりあえず、おちついてください。

---------------------------------------------------------------












(落ち着くためのスペース)




















---------------------------------------------------------------
で、僕の意見を言いますと、すくなくとも、parsley さんの被害とは無関係に「非公開」とされているアドレスが外部の手に届く状況にあった、というのは、僕も問題だと思います。さすがに「非公開」と宣言しているのであれば、本来の目的(この場合でいえば、メール通知)以外の目的で利用されるとは考えられませんし、その意味では、この掲示板のセキュリティーホール(?)といえるのかもしれません。
そういう意味で、僕も、この掲示板には、改善を求めたいと思います。

ただ、parsley の被害がどこから発したのか、というのは、parsley さんも良くわかっていると思いますが、実はこの掲示板とは特定できません。ばぐじらである可能性もあるからです。ですので、この掲示板がクラックされた、と断言するのは、早すぎると思います。
そもそも外部から一部データが参照できる状態にあったとうのは、「クラック」といわないと思います。

それから、SPAMが100通というのですが、もしかしたら、SPAM業者の設定ミスかもしれませんね。たまたまparsley さんのアドレスに対して100通送るようなおかしな設定をしてしまって、それが数日続いた、と。で、気が付いて修正して、そのままほったらかし。
そういうことも考えられるので、この掲示板からparsley さんのアドレスが削除されたことでSPAMがこなくなったのは、単なる偶然だと思っています。

以上です。とりあえず、落ちついてください。

あと、ばぐじらにも、メールアドレスを何らかの形で保護する仕組みが必要かもしれませんね。といっても、インターネット上で連絡先を示すには、外部からメールアドレスを参照する仕組みが必要ですが。
投稿された内容を外部から目のとどかないDBかどこかへ送って、そこから、メールを発信する仕組みがあればいいのかな? そうすれば、少なくとも、SPAM業者には、みつからない、かも。

Re[16]: 商用ソフトと勘違いされていませんか?
(#5204) このトピック中33番目の投稿


> で、僕の意見を言いますと、すくなくとも、parsley さんの被害とは無関係に「非公開」とされているアドレスが外部の手に届く状況にあった、というのは、僕も問題だと思います。さすがに「非公開」と宣言しているのであれば、本来の目的(この場合でいえば、メール通知)以外の目的で利用されるとは考えられませんし、その意味では、この掲示板のセキュリティーホール(?)といえるのかもしれません。
> そういう意味で、僕も、この掲示板には、改善を求めたいと思います。
>
> ただ、parsley の被害がどこから発したのか、というのは、parsley さんも良くわかっていると思いますが、実はこの掲示板とは特定できません。ばぐじらである可能性もあるからです。ですので、この掲示板がクラックされた、と断言するのは、早すぎると思います。

もう少し注意深く読んで下さい。私はばぐじらには投稿してません。#5138に書いてあります。

> そもそも外部から一部データが参照できる状態にあったとうのは、「クラック」といわないと思います。
>
> それから、SPAMが100通というのですが、もしかしたら、SPAM業者の設定ミスかもしれませんね。たまたまparsley さんのアドレスに対して100通送るようなおかしな設定をしてしまって、それが数日続いた、と。で、気が付いて修正して、そのままほったらかし。
> そういうことも考えられるので、この掲示板からparsley さんのアドレスが削除されたことでSPAMがこなくなったのは、単なる偶然だと思っています。

SPAMと最初に書いたのは私ですから、誤解されてもしょうがないですが、私に送られて来ていたメールは業者が送りつけてくるにしては宣伝対象がないというものでした。# 5167にヘッダ情報を含めて張りつけてあります。
それに使われているメーラーはロシア製のSuperMail-2というクラックツールが使われています。いくら業者でもクラックツールで広告はうたないでしょう。。。


> 以上です。とりあえず、落ちついてください。
>
> あと、ばぐじらにも、メールアドレスを何らかの形で保護する仕組みが必要かもしれませんね。といっても、インターネット上で連絡先を示すには、外部からメールアドレスを参照する仕組みが必要ですが。
> 投稿された内容を外部から目のとどかないDBかどこかへ送って、そこから、メールを発信する仕組みがあればいいのかな? そうすれば、少なくとも、SPAM業者には、みつからない、かも。


Re[16]: 商用ソフトと勘違いされていませんか?
(#5205) このトピック中34番目の投稿

> (落ち着くためのスペース)

お見事!
私も、こういう表現をスマートにできるようになりたいです。

Re[17]: 商用ソフトと勘違いされていませんか?
(#5206) このトピック中35番目の投稿

>>(落ち着くためのスペース)
>
> お見事!
> 私も、こういう表現をスマートにできるようになりたいです。

私を落ち着かせるなんて簡単なことですよ。
このページのトップに一般ユーザーに注意をうながす断わり書きをかけばいいのです。
再三言っているのに無視してたのはWadaさんでしょう。


Re[18]: そろそろこの辺で
(#5209) このトピック中36番目の投稿

中満ともうします.

> 私を落ち着かせるなんて簡単なことですよ。
> このページのトップに一般ユーザーに注意をうながす断わり書きをかけばいいのです。
> 再三言っているのに無視してたのはWadaさんでしょう。

最初の方でも言われていましたが,いい加減にクローズにして後は管理者さんと
直接やりとりするなりしたらいかがですか?

はっきり言ってこの掲示板では場違いな話題になってきています.
とにかく現在の状況でなにを言われても全部状況証拠であり,事実確認がとれていないではないですか.

脆弱性開示などで最も重要となるのは
・事実確認
(今のところなし)
・驚異の現実性(想定シナリオ,額)
(あなたにとっては迷惑かもしれないけど,驚異と言えるかな?)
です.

我慢できないのならBugtraqにでも行きましょう.
そのかわりBugtraqでも話題にならないと思うけど.

# こんな書き込みばかりしてると,悪戯メールを送る人も増えますよ.

■ テンプレート
・概要
[ ]
・解決方法
[ ]
・欠陥内容と脅威の現実性
[ ]
・発生し得る被害
[ ]
・回避策
[ ]
・ベンダの対応状況
[ ]

Re[19]: そろそろこの辺で
(#5213) このトピック中37番目の投稿

> 中満ともうします.
>
>>私を落ち着かせるなんて簡単なことですよ。
>>このページのトップに一般ユーザーに注意をうながす断わり書きをかけばいいのです。
>>再三言っているのに無視してたのはWadaさんでしょう。
>
> 最初の方でも言われていましたが,いい加減にクローズにして後は管理者さんと
> 直接やりとりするなりしたらいかがですか?

やっています。
このスレッドを下げたければ貴方が投稿しないのが一番でしょう。
このスレッドは私がたてたスレッドだから返事を書かなくてはならないと思い
わざわざ時間を裂いて書き込んでるんです。


> はっきり言ってこの掲示板では場違いな話題になってきています.
> とにかく現在の状況でなにを言われても全部状況証拠であり,事実確認がとれていないではないですか.
>
> 脆弱性開示などで最も重要となるのは
> ・事実確認

何処を読んでいるんですか?ここの過去ログ検索で非公開にしたはずの私のメールアドレスが誰にでも参照されていたのは事実です。私は先の貴方への返事でも全部読んで下さいって言ってますよ。読みもしないのに適当な書き込みは歓迎しません。それにここの私のメールアドレスを削除依頼した直後攻撃メールが届かなくなったのも事実です。

> (今のところなし)
> ・驚異の現実性(想定シナリオ,額)
あなたは#5167のようなメールが1日に100通届いても脅威じゃないというのですか?いくらもじらのメールでフィルタリングしてもサーバーに1日に100通づつ溜まっていきますよ。それに私に送られていたメールはSuperMail-2というクラッキングツールで送られて来ています。まさに嫌がらせをうけていたんです。

> (あなたにとっては迷惑かもしれないけど,驚異と言えるかな?)
私にとって脅威でしたけど、貴方がそう思わないなら私が貴方にSuperMail-2を使って毎日100通の嫌がらせメールをあなたに送っても良いですか?

> 我慢できないのならBugtraqにでも行きましょう.
> そのかわりBugtraqでも話題にならないと思うけど.
あそこはメールアドレスの開示が義務づけられてます。おことわりします。


> # こんな書き込みばかりしてると,悪戯メールを送る人も増えますよ.

今度送られて来たら私のとりうる全ての手段を使って追及します。じゃないと何度でもやられてしまいます。というか私は先日送られて来たメールについてもプロバイダーに問い合わせをするつもりです。


> ■ テンプレート
> ・概要
> [ ]
> ・解決方法
> [ ]
> ・欠陥内容と脅威の現実性
> [ ]
> ・発生し得る被害
> [ ]
> ・回避策
> [ ]
> ・ベンダの対応状況
> [ ]


【参考】SuperMailって・・・
(#5216) このトピック中38番目の投稿

ここに書込むのはかなり久しぶりなのですが・・・(^-^;

> 私に送られてきていたスパムメールのメーラーは全てSuperMail-2という
> クラッキングツールでした。(グーグルで調べてみて下さいロシア製?)

ちょっと興味を持ったので、
・"SuperMail-2"
・"SuperMail"
をキーワードに指定して調べてみたのですが、判ったのは、

1. SPAMメールのメールヘッダの実績として、"X-Mailer"の部分に"SuperMail-2"
  が書かれている場合も多いらしい。

2. 『SuperMail(Version2.x)』という名の住所録管理&宛名印刷支援ソフト
  (シェアウェア)をクラックするためのツール(レジスト用コードを自動生成)
  を、複数のクラッカーグループが作成し、配布している。

  # これについては、Googleのリンク先からサイトをたぐって、ソフトやらツールやら
  # を取得し、ドキュメントを読んでみました。

3. SuperMailという名のメール送受信サービスがある。
   http://209.68.21.55/supermail/home.htm

 ということくらいで、"SuperMail-2"="クラッキングツール"という情報は
残念ながら見つけることができませんでした。
 まぁ、数時間程度しか調べていないので何とも言えませんが、少なくともGoogleの
検索結果だけ眺めるだけでは、2.の部分は判らないと思います。

 ちなみに3.のサービスは有料ですが、一応試用期間があるようです。
 ただ、このサービスで"X-Mailer" の部分に "SuperMail-2" が付いてくるかどうかを
確認するためだけに、登録するのもちょっとなぁ、と思ったので試していません。

以上、参考になれば幸いです。



Re[20]: そろそろこの辺で
(#5219) このトピック中39番目の投稿

中満ともうします.

>>はっきり言ってこの掲示板では場違いな話題になってきています.
>>とにかく現在の状況でなにを言われても全部状況証拠であり,事実確認がとれていないではないですか.
>>
>>脆弱性開示などで最も重要となるのは
>>・事実確認
>
> 何処を読んでいるんですか?ここの過去ログ検索で非公開にしたはずの私のメールアドレスが誰にでも参照されていたのは事実です。私は先の貴方への返事でも全部読んで下さいって言ってますよ。読みもしないのに適当な書き込みは歓迎しません。それにここの私のメールアドレスを削除依頼した直後攻撃メールが届かなくなったのも事実です。

これは状況証拠です.

事実確認とは
・スパムメールが送られた前後にサーバ側のあなたのメールアドレスが第三者に閲覧されているログがサーバ側に残っており,この閲覧者のIPアドレスとメールの送信元アドレスが一致していることなどです.

事実確認がないと,つまり他にもわずかなりの可能性が考えられる現在,いくら状況証拠があっても机上の論理です.

だから今までも皆さんが「事実確認」という言葉をつかっていらっしゃいます.

>> (今のところなし)
>>・驚異の現実性(想定シナリオ,額)
> あなたは#5167のようなメールが1日に100通届いても脅威じゃないというのですか?いくらもじらのメールでフィルタリングしてもサーバーに1日に100通づつ溜まっていきますよ。それに私に送られていたメールはSuperMail-2というクラッキングツールで送られて来ています。まさに嫌がらせをうけていたんです。
>
>> (あなたにとっては迷惑かもしれないけど,驚異と言えるかな?)
> 私にとって脅威でしたけど、貴方がそう思わないなら私が貴方にSuperMail-2を使って毎日100通の嫌がらせメールをあなたに送っても良いですか?

刑事事件覚悟されるなら100通でも1000通でも(笑)
という冗談はおいといて.

あなたが個人的に嫌がらせを受けただけ(他に全く被害者はいない)で,「管理者が早急にユーザに通知しなければならないほどの」驚異と言えますか・・・?

脆弱性報告に記すべき驚異とは下記テンプレートに記述するに値する驚異,つまりBugtraqや一般ユーザが驚異と感じる驚異ですよ.

「メールアドレスが漏洩するうえに個人情報が漏洩する」なら驚異に値しますが
「それによってスパムメールの可能性がある」は,実際にあったとしてもちょっとね...

> 私を落ち着かせるなんて簡単なことですよ。
> このページのトップに一般ユーザーに注意をうながす断わり書きをかけばいいのです。

ベンダが脆弱性をユーザに告知する意味は
「その後被害者を出さないように(全員アップデートするように)」
「企業の隠蔽体質改善」
「その他」
です.

今回の問題は,単に掲示板のスクリプトが修正されれば被害者は想定されません.
管理者が隠蔽体質というわけでもありません(商用ではないので隠蔽しても意味がない)

さらに,あなたのメールアドレスは既に漏れているでしょうから,アナウンスも掲示板の修正もスパムメールを完全に停止できるかというと別問題です.

ユーザへの告知はあなたの自己満足でありその他に意味は無いと思います.
だからこそ「済」にして,別の場所で解決してほしい.

こういってはなんですが,掲示板の修正というより,ここまでユーザへのアナウンスに固執する意味が分かりませんし,もはや自作自演のようにも感じてしまいます.

> 今度送られて来たら私のとりうる全ての手段を使って追及します。じゃないと何度でもやられてしまいます。というか私は先日送られて来たメールについてもプロバイダーに問い合わせをするつもりです。

それは正しい手段だと思いますからがんばってください.

# とにかく事実確認をしてもらわないことには議論もできませんし,
# 場合によってはこのツリー全体が無意味なものになりますよ.
# ま,私は邪魔なようなのでこれで去ります.

Re[8]: 【参考】SuperMailって・・・
(#5226) このトピック中40番目の投稿

貴重なお時間をさいて頂き、ありがとうございました。

私は自分の身を守ることだけに専心することにします。
今回勉強になったことは例え非公開と書いてあっても自分のメールアドレスを絶対に入力しないこと、mozillaはユーザーにFeedbackを求めていますが、現状ではメールアドレスをSPAM業者に盗まれSPAMが届く事への配慮は何もないのでFeedbackはしないこと。以上2件です。後向きな対応ですがそれしか方法がないようです。

私はもうこのスレッドに返信しません。
今後プロバイダと連絡をとり必要な対策を施します。

貴重なお時間を裂いてお付き合い頂いた皆さん、有り難うございました。


> ここに書込むのはかなり久しぶりなのですが・・・(^-^;
>
>>私に送られてきていたスパムメールのメーラーは全てSuperMail-2という
>>クラッキングツールでした。(グーグルで調べてみて下さいロシア製?)
>
> ちょっと興味を持ったので、
> ・"SuperMail-2"
> ・"SuperMail"
> をキーワードに指定して調べてみたのですが、判ったのは、
>
> 1. SPAMメールのメールヘッダの実績として、"X-Mailer"の部分に"SuperMail-2"
>   が書かれている場合も多いらしい。
>
> 2. 『SuperMail(Version2.x)』という名の住所録管理&宛名印刷支援ソフト
>   (シェアウェア)をクラックするためのツール(レジスト用コードを自動生成)
>   を、複数のクラッカーグループが作成し、配布している。
>
>   # これについては、Googleのリンク先からサイトをたぐって、ソフトやらツールやら
>   # を取得し、ドキュメントを読んでみました。
>
> 3. SuperMailという名のメール送受信サービスがある。
>    http://209.68.21.55/supermail/home.htm
>
>  ということくらいで、"SuperMail-2"="クラッキングツール"という情報は
> 残念ながら見つけることができませんでした。
>  まぁ、数時間程度しか調べていないので何とも言えませんが、少なくともGoogleの
> 検索結果だけ眺めるだけでは、2.の部分は判らないと思います。
>
>  ちなみに3.のサービスは有料ですが、一応試用期間があるようです。
>  ただ、このサービスで"X-Mailer" の部分に "SuperMail-2" が付いてくるかどうかを
> 確認するためだけに、登録するのもちょっとなぁ、と思ったので試していません。
>
> 以上、参考になれば幸いです。
>
>



[ 前のトピック内容10件 ] | [ 次のトピック内容10件 ]
このトピックの全ページ / [0] [1] [2] [3] [4]

返信不可


- Child Tree -