web-dev-qa-db-ja.com

なぜプレーンテキストの犯罪者にウェブサイトを提出するのですか?

私はこれを読んだ 質問 そして 受け入れられた答え から引用する==

その上、プレーンテキストの犯罪者にサイトを提出することにより、あなたの事件を助けるかもしれないサードパーティの見解を提供します。

しかし、プレーンテキストの犯罪者にWebサイトを送信することは、自分をより危険にさらしているのではないですか?
悪意のある人があなたが plaintext offenders に送信したWebサイトを閲覧し、この脆弱性を悪用して自分(およびそのサイトを使用している他のユーザー)を危険にさらす可能性があります。

それとも何か足りないのですか?

passwordsdisclosureweb
51
Ryan Weaver

[〜#〜] faq [〜#〜] も引用します:

ハッカーがあなたのサイトを使ってターゲットを探すのではないかと心配していませんか?

はい。しかし、この情報を秘密にしておくこと、そしてあいまいさによるセキュリティに依存することほど心配する必要はありません。

これは、これらのサイトがあいまいさを介してセキュリティにまったく依存していないという非常に単純な理由で無効なステートメントです。この秘密が秘密のままである限り、彼らの安全はより強力ではありません。毎秒のセキュリティの議論でObscurityを通じてセキュリティを取り上げるのはよくある誤解ですが、重要なのはリスク評価を行うことだけです。そして、はい、あなたがそれに頼っていない限り、追加された曖昧さがしばしば助けになります。

しかし、トピックに戻ります:

  • プレーンテキストの犯罪者に提出することにはどのような利点がありますか?

    Webサイトは設定を修正する可能性が高く、無視できる数のユーザーがパスワードを再利用しない可能性があります。さらに、法廷では使用状況のタイムスタンプ付きの記録が重要であると主張する人もいますが、タイムスタンプ付きの記録は公に読める必要はありません(中央にあるメール(非公開で管理されていないサーバーでも同様です)。

  • 平文の犯罪者にそれを提出することにはどのような欠点がありますか?

    パスワードをプレーンテキストで保存するWebサイトは、より一般的なターゲットになります。パスワードをプレーンテキストで保存するだけでなく、さらに重要なのは、それが古い安全でないシステムを示しているからです。

だからあなたの質問に答えるために:あなたは全く何も見逃していないし、これは重要な呼びかけであると完全に正しい。個人的には、plaintextoffenders.comの送信ガイドラインを遵守せず、常に最初に問題のWebサイトに直接連絡することをお勧めします。何も変更されないか、返信が不十分な場合にのみ、Webサイトをプレーンテキストの犯罪者に送信したというメッセージを添えて再度連絡します。

6
David Mulder

[〜#〜] faq [〜#〜] を引用するには:

ハッカーがあなたのサイトを使ってターゲットを探すのではないかと心配していませんか?

はい。しかし、この情報を秘密にしておくこと、そしてあいまいさによるセキュリティに依存することほど心配する必要はありません。

より詳細に言うと、そこにサイトを送信すると、2つの結果が考えられます。

  1. 彼らはそれを修正します-これは、彼らが公に恥をかかれたときに起こる可能性が高くなります。攻撃確率も上がります。

    また、セキュリティの問題を修正するのではなく、非表示にして(秘密にしておく限り安全な状態にしておく)、セキュリティアンチパターンと見なされます NIST "Guide to General Server Security"

    「システムのセキュリティは、実装またはそのコンポーネントの機密性に依存すべきではありません。」

  2. 彼らはそれを修正しません-それからそれは少なくとも公にそして外部に文書化されます。

    具体的に言うと、 Chris Cirefice のおかげで、私が考えていたことをより明確にコメントに指摘してくれました。

    "公的および外部的に文書化"-タイムスタンプ付き。したがって、学生ローン会社がハッキングされ、学生の銀行の詳細が(米国の)政府のポリシー(例:グラム・リーチ・ブライリー法1、2、学生は会社を提訴することができ、従わなかった場合の公の釈放のタイムスタンプは、法廷での賠償の大きな証拠となるでしょう。

76
Tobi Nary

この質問は、プレーンテキストの犯罪者が、最高のホワイトハットパブリックプロファイルを持つサイトであるだけでなく、そのようなリストを維持している唯一のサイトであるという仮定をしているようです。

しかし、そのようなリストを維持している他の、それほどさわやかなサイトはたくさんあります。 Plaintext Offendersにリストされているドメインは、これらの他のサイトにしばらくの間存在している可能性があります。

そのため、悪意のあるユーザーに知らないことはほとんど伝えないでしょうが、サイトの所有者に知らないことを伝え、宣伝に光を当てて行動を促すことができます。

13
Dewi Morgan

理解しておくべき重要なことの1つは、「パスワードの漏洩」と「より多くのリスク」との間に実際的な違いがあるということです。

プレーンテキストの犯罪者にサイトを送信すると、パスワードがさらに漏洩することになると確信できます。この事実は問題ではありません。

ただし、追加のリスクが発生するかどうかは微妙です。 Ifサイトはそれについて何もしませんandあなた、そして他のユーザーは欠陥が知られていないかのようにサイトを使い続けます、そして追加のパスワード露出は実際に結果となります追加のリスク。しかし、それが行動の変化につながる場合、たとえば、一部のユーザーがそうでなければこのサイトで再利用したであろうパスワードを再利用しないことを決定した場合、または否定的な宣伝がシステムのセキュリティを向上させるためにサイトを導く場合、(可能性は低いですが、可能であり、達成されればリスクが大幅に減少します)、方程式は、それほど明確ではない、定義とリスクの大幅な減少の間のどこかに変わります。

そのため、1つのオプションが適切であり、他のオプションが間違っているほど、カットアンドドライではありません。リスクには、その性質上、未知の要素が含まれます。これは、最終的に悪用される可能性があるため、最終的には判断の呼びかけになります。

12
Xander