Re: [ja-discuss] SSH秘密鍵の扱いに ついて
[#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] On Mon, 02 Jul 2007 05:41:42 +0900 [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: これまでに何度かmaho氏に個人的にメールしていましたが、ご多忙のためか 回答をいただけなかったので、このたびこちらへ投稿することにしました。 以下の件について、何か情報をご存知の方がいましたらお教えください。 昨年末、数ヶ月間にわたってOOo日本ユーザー会のサイト内に以下のようなページがあり、 そこにはkhirano氏のSSH秘密鍵がwww.transwift.netのサイト上で公開されている ことが具体的なアドレスつきで書かれていました。 (現在は、ユーザー会のページも、www.transwift.netの該当ページも、削除済み) http://ja.openoffice.org/khirano_opens_SSH2_DSA_KEY_to_the_public_on_his_web_site/www_transwift_net.txt http://ja.openoffice.org/source/browse/ で確認した限り、このページは kihirano氏のアカウントで作成されており、SSH秘密鍵が流出したと思われます。 今は確認できないようになっていると思います。 CVSのログも完全に消されているようです。 (ほぼ同時期に以下のようなページも作られ、こちらはディレクトリ自体は まだ残されているようです) http://ja.openoffice.org/compliance/www/kuronekoyamato/co/jp/2195-2920-2045.html http://ja.openoffice.org/source/browse/ja/www/compliance/www/kuronekoyamato/co/jp/ ご報告ありがとうございます。ただ、 http://ja.openoffice.org/inquery.html を見ていただければ分かるのですが、このような問題については個人宛ではな くて [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] にご一報いただけると助かります。今後とも、よろしくお願いいたします。 以上をまとめまして、 ・SSH秘密鍵の流出はあったのか? ・それに対して、どのような対処や対策がなされたのか? について、何かご存知の方はお教えください。 とりあえず、私のかなり前にチェックアウトしたCVSの作業ディレクトリにそ れらしきものがありましたので即刻削除しました。また、他にも公開されてい るところにあったもの(一応、アドレスはふせておきます)をサーバ管理者に削 除していただくようにお願いし、つい先日削除していただきました。 すでにOOoのCVSサーバからCVSのログごと消されているようですので、それな りに対処されているとは思います。ただ、当事者と思われる平野さんからの連 絡は何もありませんでしたし、OOo日本語プロジェクトのスタッフでも知らな かった人はいるみたいで、私も驚いているところです。 それで、このことについてすでに適切に対処なされているのでしょうか?セキュ リティの関係上言及できないこともあろうかと思いますが、なにか問題があった のであればきちんと報告してください。 平野さん -- 中本 崇志 (Takashi Nakamoto) E-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] Homepage: http://bd.tank.jp/ Blog: http://bd.tank.jp/diary/ - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] SSH秘密鍵の扱いについて
現在調査中です。 On 7/6/07, Takashi Nakamoto [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: On Mon, 02 Jul 2007 05:41:42 +0900 [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: http://ja.openoffice.org/source/browse/ で確認した限り、 このページはkihirano氏のアカウントで作成されており これが「確認」できません。ooousrさんに「確認」した方法を尋ねているところです。 Thanks, khirano - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱い について
今回の http://ja.openoffice.org にはふさわしくないディレクトリが作成され てしまったり、ふさわしくないファイルがアップロードされていたという事実。 やはりどうしても信じがたいのです。でも事実なんですよね。だとしたら、 ・本人がやった。 ・本人がコンピュータにタイプした内容を悪意のあるソフトウェアによって 残らず記録されて、その盗んだ情報を元に第三者がやった。 のどちらかぐらいしか私には考えつかないです。まあ、セキュリティねたには、 絶対にそんなことはありえない。なんていう前提は成り立たないでしょうから、 なんともいえませんが。 shu minari wrote: 一応下記に、公開されていた鍵ファイルらしき物のmd5sumを添付します。 自分のか心配な人はsumを照合してみてください。 b624206c23794c65d836a9e5a11a872e id_dsa 42a44b3b9794369ce0e1463c6529293a id_dsa.pub 秘密鍵と呼ばれる id_dsa というファイル名のテキストファイルの内容については、 今回のようなもしもの漏洩対策として、公開鍵と秘密鍵を同時に生成する時に 暗号化して保存するのが、なかば常識的な運用方法です。その暗号化のための キーをパスワードとは呼ばずにパスフレーズと呼んだりしているようです。 このパスフレーズは、公開鍵と秘密鍵の生成した後の保存前に入力するように 求められるのが、この手の多くのソフトウェアの仕様だと思います。 その手元にしか置かない秘密鍵(id_dsa)ファイルの内容と、ja.openoffice.org の サーバー側にあらかじめ登録しておく公開鍵(id_dsa.pub)ファイルの内容の組を使って 接続を確立するためには、接続時に暗号化を解除するためにそのパスフレーズが必要 となりますので、パスフレーズを入力するように求められます。なお、暗号化していないと、 パスフレーズの入力は求められずに即座に接続してしまいます。 また、ja.openoffice.org 側の CVS サーバーにログインするためにも、別のパスワード が必要となります。 このように、そう簡単には破られるような仕組みにはなっていませんです。 今回は ja.openoffice.org の Web サーバーの内容についてですけど、上記の方法は OpenOffice.org のソースコードについても同様な仕組みで運用されているようです。 まさか、とは思いますが、パスフレーズやパスワードなどをテキストファイルに書いて いて、そのファイルも公開鍵・秘密鍵のファイルなどと一緒に盗まれたのかしらん。 とにかく、いったい何が起きたのか。 是非とも、当事者からの「簡単でいいから(セキュリティねたですので詳しい内容は 公開しないでくださいね)」説明が欲しいところです。 同様な事件を再発させない教訓にするためにも。 Tora - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
[ja-discuss] OOo Aqua ! テスト版
最新のテスト版を使ってみて、日本語の入力(フォントなど)の問題は なくなったので「普通に」テストできるようになりました。 http://porting.openoffice.org/mac/download/aqua.html Intel/PPCのリンクはページの下です。 どちらかをクリックして、EN-FR-DE-JAのl10n版の BittorrentかHTTPダウンロード方式から選択できます。 エラリー - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
[ja-discuss] 「MLの参加方法」のページ 更新
中本です。 [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] しました。 http://ja.openoffice.org/ml_info.html 主な変更点は以下のとおりです。 - 掲示板メーリングリストは無くなっていますので関連する項目を削除しま した。 - 参加登録等をするには「空」メールを送るように指示するようにしました。 - 参加登録をすると、英語で参加登録の確認をするむねが送られてくるとい うようなことが書いてありましたが、今は日本語になっていますので、そ のようなところを更新しました。 - 組織名が古いものは「OpenOffice.org日本語プロジェクト」に統一しまし た(ユーザメーリングリストの項については、よくわからなかったのでノー タッチです。) それから、文字コードはLFに統一しましょう。 Web管理者のみなさま 以上、ご報告まで。 -- 中本 崇志 (Takashi Nakamoto) E-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] Homepage: http://bd.tank.jp/ Blog: http://bd.tank.jp/diary/ - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]