Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済) 228
ストーリー by Oliver
注意はよく読みましょう 部門より
注意はよく読みましょう 部門より
jbeef曰く、"スラッシュドットのユーザページにある「パスワード」というリンクの先には、
このリンクをクリックすると,自動的にログインすることができます.クリックした先のページをブックマークしてください.全く安全ではないですが,とても便利です.というリンクがある。そのURLにはユーザ名とパスワード(のMD5値)が含まれているので、アクセスするだけでログインできるわけだが、このURLがRefererによって漏れているという指摘が11日にBUGTRAQに投稿された。これに対して、slashcodeのメンテナの一人であるJamie McCarthy氏は、「『This is totally insecure, but very convenient(全く安全ではないですが,とても便利です)』ときちんと警告している」と弁明した。 すると報告者は、「なぜ安全でないのかが説明されていない。多くの人達が、ブックマークにパスワードを持つことが問題とされているのだと思い込んでいるかもしれず、これを外部に送出していることに気付いていない」 と指摘した。
私のサーバのアクセスログを「grep slashdot | grep passwd」してみたところ、ユーザ名とパスワードを含むRefererが1件見つかった。私のサーバへのリンクのあるタレコミが掲載されたトップページで、その人物がそのリンクを辿ったときに記録されたものだと思われる。現在では、ブックマークのURLにアクセスすると自動的に問題のないURLにリダイレクトされるようになっており、もう秘密のURLが漏れることはないようだ。これは対策されたということなのだろうか。しかし、既に漏れてしまったパスワードは取り返しがつかない。過去にこのブックマーク機能を使用していた方はパスワードを変更した方がよいだろう。"
Slashcodeにはかなり前からログインが成功したら一度、同じSlashcodeサイト内でリダイレクとしてRefererを消すコードが入っているが、一部の引数が省略された場合など、有効になっていなかったケースがあった模様。うちでも問答無用でリダイレクトする様に改善したが、このブックマーク機能を利用していた人は念の為にパスワードを替ることを勧める。
注意はよく読みましょう部門? (スコア:3, 参考になる)
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
とおっしゃっています。これに対して報告者も指摘しているのですが、私も思うに、「totally insecure」というのは、「他人が端末の前に立つと、ブックマークでログインできてしまう」危険性を想定して述べられていたのだと予想します。このことならば、「それでもその機能を利用するのはユーザの判断」というのは妥当ですから。それに対して、Refererによる外部流出の指摘があったときに、「has been duly warned」とか、「注意はよく読みましょう」とする発言は、要するに、
ということを言われているように聞こえますが、それは、本当に「リンク先サーバの管理者(ログを閲覧できる者)にアカウントを乗っ取られる」ことを想定しての発言でしょうか? 最初に「totally insecure, but very convenient」と書いた人は、まさか、いくらなんでも、そんなに危険度の高いことを指してそう書いたはずはないと思います。Re:注意はよく読みましょう部門? (スコア:3, 参考になる)
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかるが)、問題がないように思えるなら、指摘者が何を問題視しているのかを、尋ねるなりして確認するよう努める姿勢を心がけたいものです。指摘をした側も、「問題ない」と否定されると(そしてそれが間違っていると)それに再反論するのに余計なエネルギーを必要としてしまうのが人情だと思います。
Re:注意はよく読みましょう部門? (スコア:1)
Re:注意はよく読みましょう部門? (スコア:2)
Re:注意はよく読みましょう部門? (スコア:1)
スラッシュドットへのログインに関しては、MD5値が漏れることとパスワードが漏れることは同等です。アカウントが乗っ取られることを一般読者にわかるようにパスワードが漏れたと表現しました。タレコミ文の中には実際にはMD5値であることは示してあります。
Re:注意はよく読みましょう部門? (スコア:1)
Re:注意はよく読みましょう部門? (スコア:1)
どこが同じでないのですか?つまり、 スラッシュドットだけにしかそのパスワードを使わない人にとって、 「アカウントを乗っ取られる」と説明されるのと「パスワードが漏れる」と説明されるのとで、理解する内容において何が違いますか?そして、その違いを認識することにどのような意義がありますか?
それどころか、むしろ、「アカウントを乗っ取られる」というタイトルでは、「セッションIDの漏洩が原因」と解釈される方が普通(世の中ではそのようなセキュリティホール(セッションID漏洩によるアカウント乗っ取り)が大半を占める)ですから、それでは危険度を低めに説明してしまう(セッションIDは使い捨てなので時間が経っていると乗っ取れないという点で脅威の現実性が低めになる)不適切なタイトルになってしまいます。
つまり、この種の話題の伝達で正確さを期すには、できるだけ結果よりも原因に近い部分を説明するのが適切です。結果の方を書くと、その結果がもたらされる現実性の高さの情報が失われてしまいがちです。 しかし、原因に近い部分というのは、より技術的な説明となりがちなので、一般利用者にわかる範囲で最も原因に近い部分を示すことになります。これがこの種の話題の伝達の際にタイトルに選ぶべきポイントです。
さらに言えば、タレコミではタイトルは「Slashcodeが一部ユーザのパスワードを漏らす」としていました。(「…リスク」という表現は編集担当者によるものです。) これは、パスワード(のMD5値)が実際に私のサーバに漏れてきていた事実を伝えることが、このタレコミの重要な要点のひとつであったからです。
当然ですね。タイトルで触れる必要があるものなのですから、タイトルに付けるのは当然としか言いようがない。Re:注意はよく読みましょう部門? (スコア:1)
Re:注意はよく読みましょう部門? (スコア:1)
Re:注意はよく読みましょう部門? (スコア:1)
Slashcode に限らない一般論では、弱点の大きさは (P) ≧ (M+A) ≧ (A) です。
(P) と (M+A) の差がどの程度かは、辞書攻撃の有効性によるでしょう。また、 (M+A) と (A) は、じつは Slashcode では同じことですが、一般にはアカウントを乗っ取ってもパスワードの MD5 がわかるとは限らないので差があります。
この記事のタイトルに「パスワード漏洩」と書いてあるより「パスワードの MD5 の漏洩+アカウント乗っ取り可能」と書いてあるほうが、ぼくにはわかりやすかったと思います。
しかし、タイトルに正確な情報をすべて詰め込むことはできないので、タイトルの表現が多少不正確だったり足りなかったりするのはしかたのないことです。どういうタイトルを付けるかは、タレコんだ人(それと最終的には投稿した人)の裁量でしょう。ベンダ以外によるセキュリティホールの公表を見て、弱点を実際よりも大きく見せるような書きかたをしていると感じたことは何度かあります。大きく見せたほうが自分がすごいことをしたように思ってもらえるからかもしれないし、大きく見せないと注目してもらえないからかもしれないし、別の理由かもしれません。
今回 jbeef さんが、正確には (M+A) であるこの弱点を多少不正確でもいいから短く書こうとして、小さすぎる (A) という書きかたではなく大きすぎる (P) という書きかたを使った理由も、ぼくにはわかりません。いろいろ勘繰れば、妄想だけならいろいろ思いつくのですが、理由がわからない段階で、 jbeef さんの書きかたを「センセーショナルな嘘あるいは誇大表現」とまで呼ぶのは、それ自体も少々扇情的な表現ではないかと思います(jbeef さんのことを言っているのでなければ、ぼくの読み間違いです、失礼)。
鵜呑みにしてみる?
Re:注意はよく読みましょう部門? (スコア:1)
また、「P」は原因です(もたらされる脅威の)が、「A」は原因ではなく(もたらされる)脅威ですので、「A」を言っただけでは、それが常に起きることなのか、短期間に限り起きることなのかといったを言い表せていません。「P」が原因の「A」という脅威は、常に起きることですが、単に「A」と言っただけではそこまで表現できていません。このことについては既に#171634 [srad.jp] で述べてあります。
Re:注意はよく読みましょう部門? (スコア:1)
Re:注意はよく読みましょう部門? (スコア:1)
不正確に小さく書くのと不正確に大きく書くのとでどちらが読者のためなのかはそう簡単に判断できることではないと思います。いいえ、ぼくはここでは「パスワードが漏洩する」ということ自体を脅威の一つと数えています。もちろん、なぜそれが脅威かというと、それによってスラッシュドットや他のシステムにログインするためのパスワードが類推されるなどの結果が引き起こされるからですが、だからといって「パスワードの漏洩」は脅威の原因であって脅威そのものではないなどと言い出すとわかりにくいので、「パスワードの漏洩」自体を脅威と呼んでいます。(P) ならば (A) ですが、逆は成り立たないという意味ですね。それならその通りです。
同様に、 (P) ならば (M+A) だし、 (M+A) ならば (A) ですが、ともに逆は一般的には成り立ちません。事実は (M+A) であり、それを (P) と表現することも (A) と表現することも不正確です。「(A) と表現することが不正確」というだけでは、タイトルに (P) を掲げるほうが (A) を掲げるよりもいい理由を説明したことになりません。
いや、既に書いたように、不正確でもしかたがないとは思うんですよ。タイトルが長いのは読みにくいので。それに、大きすぎる書きかたを選んだのはユーザのためを思ってのことなのでしょう。
でも、世の中には「ユーザのため」と言いながら自分のために弱点を大きく書く人がいてもおかしくありません。セキュリティホールの報告者がベンダから信用されない場合があるとしたら、原因の一つは、報告者が脅威を実際よりも小さく書くよりは大きく書くほうを選ぶところにあるのではないかと思っています。だったら小さく書けばいいかというとそうでもないので、解決するのは難しいですが。
鵜呑みにしてみる?
Re:注意はよく読みましょう部門? (スコア:1)
それはそうです。原因が脅威という結果に結びつく限りすべての原因も脅威と 表現可能です。そういうことを言っているのではなく、Aを中心に見たときのA に対するPの関係が「原因」であると述べただけです。なぜそれを述べたのかというのは、それに続く部分を言うためです。つまり、 前のコメントにも書いた、脆弱性を語るときはできるだけ原因に近い事象を述べるのが良いという点を述べるためです。 原因方向の事象(極はexploitを示すこと)ほど厳密ですがユーザには理解が 困難です。結果方向の事象ほどユーザには理解しやすいですが厳密でなくなり ます。「A」を示すことは厳密さが足りないと言っているのです。何が足りな いと言っているかは以下に続く部分です。 そのようなことは書いてありません。(書いてあることだけを解釈する癖を付 けましょう。)
何を言っているのかはそれに続く部分に書いてあります。tixさんならもう 一度読んでくださればおわかり頂けると思いますが、もう一度述べておくと、 Aと言っただけでは別のタイプの(別の原因の)脆弱性(例えばセッションID 盗用の場合は一定期間だけアカウント乗っ取りの脅威にさらされる)のことと 区別できていない(ので不十分な説明)ということを述べています。原因Pを 示せば、一時的ではなく常時Aの危険に晒されること(追記すれば「パスワードを変更している場合には脅威がない」ことも)を説明し切れる点で厳密性があることを 述べています。 その手の話をしているのではないのです。 既に述べたように、ユーザ向けニュースにおいてタイトルで小さい方に倒すの には問題があるのです。もちろんそれは程度問題ですが、MD5値に対する辞書 攻撃の可能性(同値などとはもちろん言っていない)も付随しているので、 程度問題として妥当だと判断したということです。これはタレコミ時から十分 に考慮して書いたもので、ミスではありません。 本文中の話とタイトルの話は区別して書いた方がよいです。
Re:注意はよく読みましょう部門? (スコア:1)
#オフトピか?
私刑、ですか…… (スコア:1)
実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。 報告者が通常望んでいるのは、問題の修正と、修正後の利用者に対する告知、であって「謝罪文を載せろ」ではないでしょう。どちらも、利用者の安全性を最大限保つための行為です。
「だぶるすたんだーど」っていうんですか? (スコア:2, 興味深い)
特に172。
━━━━━━━━━━━━━━━━━━━━━━━━━
166 :login:Penguin :02/09/23 16:06 ID:NEjOj+0p
slashcodeが一部ユーザのパスワードを漏らす
http://srad.jp/journal.pl?op=display&uid=1278&id=75764
http://srad.jp/journal.pl?op=display&uid=1278&id=75874
http://srad.jp/journal.pl?op=display&uid=1278&id=75881
jbeefタンの日記より(w
http://srad.jp/journal.pl?op=display&uid=1278
169 :login:Penguin :02/09/23 21:07 ID:7ldX0W3W
2002-09-15 09:12:50 Slashcodeが一部ユーザのパスワードを漏らす (security,slashdot) (審査待ち)
投稿者は1週間もほっといていいんかよ? こんな大事なこと。
170 :login:Penguin :02/09/23 21:30 ID:Uhxj40uo
>>169
禿同。
却下するなら却下するで、既に対応済みなり、何らかの返答してやれよ。
1週間もたってるんだぜ。
今まで日記を書いてこなかったjbeefタンが、日記を書いてるってのは、
その危険性を指摘したにもかかわらず、1週間も放置されてるってのに
抗議してるからだろ。
こうなったら jbeefタンを友達に追加して、
ttp://srad.jp/journal.pl?op=top 日記ページを開いたら
「友達リストに多く加えられているユーザ」に表示させて抗議するぜ。
祭りだ、祭りだ。
171 :login:Penguin :02/09/23 21:35 ID:x8EH4P0Z
>>170
> 却下するなら却下するで、既に対応済みなり、何らかの返答してやれよ。
> 1週間もたってるんだぜ。
あそこはそういうの多いね。
172 :login:Penguin :02/09/23 23:16 ID:EDJx05bI
自分たちに都合の悪い情報はなんだかんだと理由を付けて載せない。
それが /.J の /.J たる所以です。特に○りばとか。
full disclosure がどうこうと騒いでいても、所詮はその程度。
他人には full disclosure を要求するくせに。
175 :login:Penguin :02/09/23 23:29 ID:m8/2E76m
まるで民青みたいな奴らだな > /.J
181 :login:Penguin :02/09/24 10:59 ID:t0OrO6hD
今回の件でますます/.の評判がさがりました。
ま、2ちゃんねるも同じようなもんだが。彼らにあこれれいう資格はないことがわかった。
\_ ____________
V
∧,,,,∧
彡,・ー・,ミ
(っ@c) ∫
乙__)__) 旦
Re:「だぶるすたんだーど」っていうんですか? (スコア:1)
面倒だとか人手が足りないだとかで出来ないとか、そもそもやる気も無いだとか、それならそれでユーザーとコンセンサスが取れてれば良い話だけど、FAQにしても本家の翻訳だったりして今ひとつ「スラッシュドットジャパン」がどういう方針なのかがわかんないところがある。
空気読め、と言われるだろうけどもう少し説明して欲しい。
Re:「だぶるすたんだーど」っていうんですか? (スコア:1)
例えばIEのセキュリティホールの指摘がBUGTRAQに出ているときに、マイクロソフトに連絡することなく、ここにタレ込むのと同じです。
Re:「だぶるすたんだーど」っていうんですか? (スコア:1)
Re:「だぶるすたんだーど」っていうんですか? (スコア:1)
Re:「だぶるすたんだーど」っていうんですか? (スコア:1)
Re:「だぶるすたんだーど」っていうんですか? (スコア:1)
まったく安全ではない (スコア:1)
Re:まったく安全ではない (スコア:1)
Re:まったく安全ではない (スコア:1)
…と投稿しようとしたら、すでに「危険ですが,とても便利です.」
に文面が変わってますね。すばやい対応に拍手。
#「危険」とか書いてたら、誰も使わんわな。というのをオチに
#しようと思ったのに、オチにならなくなったよ。ちぇっ
Re:まったく安全ではない (スコア:1)
ツリーの元発言にあるように、「まったく安全、というわけではない」という意味で
注意書きを間違えて捉えてしまえてしまう人がおり(含む、俺)、そういう人が
余り危険とは思わずに問題の機能を使用してしまう可能性があったのですから、
そういう誤解を防ぐ効果が期待できると思います。
欲を言えば、具体的にどうして危険なのか、を説明する文章があれば、よりよかったの
ですが、…これについては、referが漏れるという問題は既に修正されたようですので、
具体的な問題を例示できないのは仕方ないですかね。
Re:まったく安全ではない (スコア:1)
書くなら「ブックマークした URL を他人に見られると、アカウントを乗っ取られます」ということを書くのでしょうね。
なお、ぼくは、今まで「安全ではないが便利」で述べられている危険性を、パケット盗聴されてアカウントを乗っ取られる危険だと思い込んでいました。
その危険は、暗号化されない通信でログインした時点で発生していますよね。「安全ではない(あるいは危険である)が便利」と書くだけでは、誰もがリスクを正しく理解できるわけではないという実例として、恥ずかしながら述べておきます。
// こんな間違いをするのは少数派かもしれませんが。
鵜呑みにしてみる?
Re:まったく安全ではない (スコア:1)
Re:まったく安全ではない (スコア:1)
(ちなみに、ぼくはあのリンクを使ったことは、覚えている限りありません。上で「ユーザ」と書いているのは、スラッシュドットジャパンのユーザという意味です。)
今回見つかった弱点は、「安全ではない」という警告を見て想像していた危険の度合いよりずっと重大なものであるという点では、ぼくは jbeef さんと同じです。あれで「警告してあった」などと言うのは、ユーザがサイトに書かれている文言を見てどう考えるかを理解していないとしか思えません。
ところで、ユーザがログインしたときにできるクッキーって、デフォルトでは1年間有効だったと思いますが、違いますか? クッキーがセッション限りでなく、ユーザがいちいちログアウトしないなら、あの「便利なリンク」を使っていなくても、悪意のあるユーザに端末を触られたらクッキーでログインできてしまいますよね。だから、「便利なリンク」で言っている危険性は本当は何なのか、ぼくにはよくわからないのです。承知しています。
鵜呑みにしてみる?
Re:まったく安全ではない (スコア:1)
Re:まったく安全ではない (スコア:1)
>>(1)否定表現と呼応して,それを強調する。全然。「酒を―飲まない」
|ぜんぜん【全然】 (副)
|(1)(否定表現を伴って)まるきり。全く。「金は―ない」
>「まったく安全ではない」と「全然安全ではない」は同じ意味では?
この 2つの意味は同じ。
「安全である」を否定強調してる意味です。
いわゆる全部否定。
ところで「まったく」にはもうひとつありまして。
| (2)完全に。本当に。「―健康になった」
「「まったく安全」ではない」
とも解釈できます。これだと部分否定ですね。
ちなみに全然にも別の意味ありますが
| (2)〔俗な言い方〕非常に。とても。「―いい」
これは肯定文の強調に使う最近の俗語なので、今回当てはまらず。
-- wanna be the biggest dreamer
Re:まったく安全ではない (スコア:1)
あー、なるほど。つまりそういう解釈も可能だから紛らわしいということでしたか。
しかし昨今は「全然大丈夫だよ」みたいなワケのわからん言い回しも世の中には流通しているようなので、「全然安全ではない」であっても油断できない可能性があるのかもしれません。
そもそもパスワードって漏れるもの (スコア:1)
所詮/.程度のサークル内で使うパスワードに対したものは使ってませんので、ココまでエキサイトしなきゃならない理由がピンと来ないでおります。
自分としては基礎→プライバシー絡み→金絡みの順序で生成規則を変えてます。2段目、3段目のパスワードがクラックされるようなら文句も言いますがクッキーで自動ログオンできるようなスラッシュコードに高レベルのセキュリティ対策求めてもしゃあないと考える私は鈍い?
〜後悔先に立たず・後悔役に立たず・後悔後を絶たず〜
Re:そもそもパスワードって漏れるもの (スコア:1, 参考になる)
- パスワードを変更して
- 変更前のブックマークからアクセスして
- ログインできなかったにも関わらず、そのまま直しもせず
- ほんの一日か二日で流れてしまうトップページにリンクがあり
- そのリンクをクリックしてWebへアクセスし
- そのサイトの管理者等リファラのログへアクセス可能な人が悪意を持っており
- その悪意を実行するまでの間に旧パスワードへ戻す
という多くの「仮定」をクリアしなきゃ実現しないような脆弱性を政府機関の人間がタレ込んでるからエキサイトしてるのでは?その上、
- 辞書攻撃で破られる程度の脆弱なパスワードを付けており
- リファラの付いたアクセスがどこの誰から行われたかを知り
- どういった別のパスワードが必要なサービスを受けているかを知り
- そのサービスで同じパスワードを使っている必要があり
- その悪意の管理者がそのアカウントに侵入しようとする
という、流れ星に当たるぐらい多くの悪条件が重なった場合にだけ起こる「パスワード漏洩のリスク」というのをタイトルに付けてるというのもあるかも。Re:そもそもパスワードって漏れるもの (スコア:1)
> それとも仮名で叩くのがAISTの仕事か?
から始まって
> 匿名だろうが匿名じゃなかろうが、問題を問題と指摘して何が悪い?
> ハンドルを名乗れば、自分をさらけ出すことになるのか?
> そもそもハンドルっつーもの自体、自分自身の正体を明かしている
> ことにはならんだろうに。
> 昔の草の根BBSと違って、自分自身の住所や電話番号を登録しなきゃ
> いかんシステムと違うんだろう? /.は。
> 匿名とハンドルの違いがどこにある?
こうくる、と。おもしろいなー。
Re:そもそもパスワードって漏れるもの (スコア:1)
- パスワードを変更して
- 変更前のブックマークからアクセスして
- ログインできなかったにも関わらず、そのまま直しもせず
- ほんの一日か二日で流れてしまうトップページにリンクがあり
- そのリンクをクリックしてWebへアクセスし
ここまでが現実に起きたというタレコミですよ?私のサイトなど話題にされることは滅多にないのでアクセスも少なめですが、もっと頻繁にリンクされるサイトにはより高い確率でログに記録されていることでしょう。
ちなみに、Googleで「"userlogin&upasswd="」を検索 [google.com] すると、こんなページ [geocrawler.com] などが見つかります。
私の付けたタイトルには「のリスク」という言葉は入れていません。ずばり、「Slashcodeが一部ユーザのパスワードを漏らす」という、漏らした事実をタイトルとしました。Re:そもそもパスワードって漏れるもの (スコア:2, おもしろおかしい)
Re:そもそもパスワードって漏れるもの (スコア:1)
Re:そもそもパスワードって漏れるもの (スコア:1)
Re:そもそもパスワードって漏れるもの (スコア:1)
脆弱性の深刻度の話をするときは、実際に被害が出たかは問わないのがスタンダードです。コンピュータソフトウェアの欠陥は、自動車の欠陥の場合などと異なり、100%の再現性があるため、攻撃しようと企てた者がいれば確実にやられます。セーフティとセキュリティの違いです。
(なんだかよくわかりませんが)そちらから持ち出された流れ星のたとえ話に従えば、「流れ星が大気圏に突入した」が「実際にログイン用URLが漏れていた」に対応していて、「流れ星が人に当たった」が「実際に不正利用された」に対応しているというのですよね。
実際に不正利用される確率が、大気圏に突入した流れ星が人に当たる確率並に小さいという主張か妥当かどうかなわけですが、それはどうでもよくて、それは問うことではないのです。脆弱性が存在すると判明した時点でそれは利用者(自衛策をとれる)に知らされるべきなのです。
Re:もっと叩けよ(煽) (スコア:2)
それに9/12にBUGTRAQに一報が出てから、2週間近く経っても
まだ時間足りない?
つーか、今回のって、そーゆー問題なんすか?
BUGTRAQでは公開されてる点に関するタレコミが
一週間も放置だったことが問題なんじゃ?
しかも当事者のサイトで。ユーザーを危険に晒してる(orいた)のに。
タレコミの
> 既に漏れてしまったパスワードは取り返しがつかない。
というのがすべてを表していると思いますけど。
Re:もっと叩けよ(煽) (スコア:1)
>対策をとれる時間的猶予をあたえるべきです。
>脆弱性を発表するということは、他のユーザ全体を危険に晒すのだということを認識すべきです。
今回の場合は逆に、脆弱性の内容が発表されない方が、ユーザが知らずに問題の機能を
使用し続ける危険があるので、まずいと思います。
問題の機能を使用しないことで、ユーザは自分で危険を回避できるのですから、管理者側は
危険の内容、範囲、回避方法を広くアナウンスし、ユーザが自分で機能の使用を判断でき
るようにすべきでしょう。
#jbeef氏の発言と日記を追ってみましたが、ネットに晒して喜んでいる、とは
#思いませんでした。問題の内容、流れがよくまとめられており、理解しや
#すかったです。今回の問題はユーザが自分で回避できる内容なので、できる
#範囲で広く公表するという行動は、適切であったと思います。
Re:もっと叩けよ(煽) (スコア:1)
なんせ、巷の有名ソフトのセキュリティ穴発覚のときなどとは違って、
(狭義の)ニュースサイトにコトを判りやすく(和訳:情報換骨奪胎状態で)説明してくれる文章が
掲載されない(されるとは限らない)から、ねえ(^^;
まあ、なんにせよ、自分らに都合の悪いときだけユーザーの不利益を過小評価するような運営だけは
しないで欲しい(今までそうしていたかどうかはさておき)なぁと、一般的に思うところであります。
#少なくともカルマ非表示の件は、反対に一票。
Re:放置プレイ? (スコア:1)
サゲ荒らし、とでも呼ぶほうが適切なような気がしました。
2chはアゲることで誰かの不利益(ぷ)を巻き起こしますが、
スラドのはむしろ逆かと。下げてしまうことで不利益(?)を醸し出す。
まあどっちもどっちだけど、ただ、こういうNet掲示板という場においては、
情報を晒してどうこうしようっていう姿勢よりも、
隠し気味にしてどうこうしようっていう姿勢のほうが、
より一層不気味なものを感じますね。とりあえず俺は。
Re:放置プレイ? (スコア:1)
>というだけで、ネット上だけの人格って事に変わりはないんだぜ。
まぁ、書いた意見をある人格からの意見だと認識してもらうには便利かなーと思っています。
逆に、類推できそうな場合(外れている場合もあるんでしょうけど)以外はACの意見はすべて別人の意見(さすがに一つの人格と見るのは難しい)くらいですかね。
本当かい♪本当かい♪
Re:きっと、「荒らしは放置に限る」と考えてるのでは (スコア:1)
だったりしないことを切に祈っております。
#いらんお世話だ部門、なのでG7
----
>カルマ非表示化により被害感情は大幅に緩和されるはずだが、被害にあったら我々編集者までメールで知らせてほしい。
とのことだが、こういう奴ぁ、特定の誰かに「こっそり」報告するという体制より、
「晒す」
という体制のほうが、抑止力としてはずっと効果的であるはずだ。
それこそ1人の目より多数の目のほうが、バグ(違)にとっては脅威であるわけよ。
メール方式は、はっきり言って冴えないやり方だ。
今までは自分で被害(かどうかはさておき)を類推するための情報の欠片くらいは
我々の側に有ったわけだが、それが無くなり、メール「しか」対抗手段が無くなった
のだとしたら、これは純粋な改悪でしかないだろう。あほらしい…
Re:きっと、「荒らしは放置に限る」と考えてるのでは (スコア:1)
>見ている普通の神経の持ち主ならこっそり報告なんてしないだろう。
それが事実だとすると尚更、そういうことをそういうふうに指摘してもキかない、という傾向がありますね。人間って。
仕方ないから、(もし何かの効果を期待する:-pならば、)地味に攻めていくしかないってゆー。
そういやもう一つ。
>カルマ非表示化により被害感情は大幅に緩和されるはずだが、被害にあったら我々編集者までメールで知らせてほしい。
なんなんでしょうね、「被害感情」と「被害」との、この意味不明な使い分け(または混同)は?
いったいくだんの問題を被害感情問題と被害とのどっち(だと解釈している)のやら…。
てゆーか、感情の問題「だということにしたい」のだろうな、という邪推をされても
文句(ぉ)は言えないと思うなあ、こんな書き方では…
少なくとも俺は、こういうものの考え方(だよな)をする人には、
たとえかりそめにでも、人が集う「場」を提供する立場には、なってほしくなかったりします。
なにせ、こういうタイプの人が頭をやると、しばしばその人が「法」になっちゃいますので。
しかもそうすることに痛痒を感じない(あるいは感じても隠す)。そのせいでしばしば「話が通じない」。
おっと。地味に責^H攻めないとならないのであった(笑)。
Re:きっと、「荒らしは放置に限る」と考えてるのでは (スコア:1)
>たとえかりそめにでも、人が集う「場」を提供する立場には、なってほしくなかったりします。
>なにせ、こういうタイプの人が頭をやると、しばしばその人が「法」になっちゃいますので。
>しかもそうすることに痛痒を感じない(あるいは感じても隠す)。そのせいでしばしば「話が通じない」。
「場」の問題(/.jの運用体制)、「人」の問題(運用主体となる人たちを罷免したい?)、どっちを重要視したいのでしょう?
個人的には、今の運用体制である限り、不可分な状態だと思ってますが。
極論かもしれませんが、運用を変えれば(タレコミ→編集)、今の/.jとはまったく違うものになるでしょうし、
人を変えれば(運用主体がいなくなれば)、今の/.jはなくなってしまうと思います(それこそ続ける意味はない)。
文句は言うけど使いつづけるという立場からの、運用主体の対応を諌めたいのが目的なのだとしたら、
もう少し書き方を変えたほうがいいとおもいますが。
#というか、どっちも独善にしか読めなくて、気分が悪いです。
本当かい♪本当かい♪
Re:まとめ (スコア:1)