今回の http://ja.openoffice.org にはふさわしくないディレクトリが作成され てしまったり、ふさわしくないファイルがアップロードされていたという事実。
やはりどうしても信じがたいのです。でも事実なんですよね。だとしたら、 ・本人がやった。 ・本人がコンピュータにタイプした内容を悪意のあるソフトウェアによって 残らず記録されて、その盗んだ情報を元に第三者がやった。 のどちらかぐらいしか私には考えつかないです。まあ、セキュリティねたには、 絶対にそんなことはありえない。なんていう前提は成り立たないでしょうから、 なんともいえませんが。 shu minari wrote: > 一応下記に、公開されていた鍵ファイルらしき物のmd5sumを添付します。 > 自分のか心配な人はsumを照合してみてください。 > b624206c23794c65d836a9e5a11a872e id_dsa > 42a44b3b9794369ce0e1463c6529293a id_dsa.pub 秘密鍵と呼ばれる id_dsa というファイル名のテキストファイルの内容については、 今回のようなもしもの漏洩対策として、公開鍵と秘密鍵を同時に生成する時に 暗号化して保存するのが、なかば常識的な運用方法です。その暗号化のための キーをパスワードとは呼ばずにパスフレーズと呼んだりしているようです。 このパスフレーズは、公開鍵と秘密鍵の生成した後の保存前に入力するように 求められるのが、この手の多くのソフトウェアの仕様だと思います。 その手元にしか置かない秘密鍵(id_dsa)ファイルの内容と、ja.openoffice.org の サーバー側にあらかじめ登録しておく公開鍵(id_dsa.pub)ファイルの内容の組を使って 接続を確立するためには、接続時に暗号化を解除するためにそのパスフレーズが必要 となりますので、パスフレーズを入力するように求められます。なお、暗号化していないと、 パスフレーズの入力は求められずに即座に接続してしまいます。 また、ja.openoffice.org 側の CVS サーバーにログインするためにも、別のパスワード が必要となります。 このように、そう簡単には破られるような仕組みにはなっていませんです。 今回は ja.openoffice.org の Web サーバーの内容についてですけど、上記の方法は OpenOffice.org のソースコードについても同様な仕組みで運用されているようです。 まさか、とは思いますが、パスフレーズやパスワードなどをテキストファイルに書いて いて、そのファイルも公開鍵・秘密鍵のファイルなどと一緒に盗まれたのかしらん。 とにかく、いったい何が起きたのか。 是非とも、当事者からの「簡単でいいから(セキュリティねたですので詳しい内容は 公開しないでくださいね)」説明が欲しいところです。 同様な事件を再発させない教訓にするためにも。 Tora --------------------------------------------------------------------- To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
