Re: [ja-discuss] Re: SSH秘密鍵の扱いについて
khiranoさん、または本件の調査を担当されている方、本件の報告はまだでしょうか。 セキュリティ上重要な暗号用の秘密ファイルをkhiranoさんがwikiで流出させてから2年、 自分がこのMLで報告してから1年たちますが、いまだに当事者からも組織からも 経緯や調査結果の説明をもらえていません。 秘密鍵ファイルの流出はなぜどのように起こったのかという原因、 流出したファイルがどう使われていてどう使われてはいないのかという影響範囲、 類似のトラブル再発を抜本的に防止するために何をしたかという対応策、 など、トラブルに対して開示されるべき情報は一般論で言っても多々あると思います。 ましてや世界的な規模を持つ開発プロジェクトでのセキュリティ上のトラブル なのですから、きちんとした説明をお願いします。 - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱い について
鎌滝です。 下記の件で、平野さんと私信でやりとりがありました。今までのMLへの問いに も、私信で応えられていたか、わかりませんが、わたしのような質問を今後も 繰り返さないためにも、あえてMLへ投稿します。 わたしは平野さんのメールの内容(11/9に受け取ったもの)を信じようと思いま すが、何より問題を長引かせていることがよくありません。ここで区切りをつ けましょう。 平野さん自身が、MLで説明されるよう再考をお願いします。 -- M.Kamataki http://openoffice-docj.sourceforge.jp/wiki/Special:ListAllBlogs/ http://nstage.ddo.ne.jp/~kamataki/pb/ At Fri, 09 Nov 2007 14:18:30 +0900, wrote: 鎌滝です。 相変わらず音沙汰なしですね。 わたしはIssueするのが良いと思います。次のQAに入るようなので、来週いっ ぱいを期限として、khiranoさんに説明してもらいましょう。 これはコミュニティのリスク・マネジメントに関わるので、当然ながら中田さ んの説明も求められます。中本さんとのやりとりがありますが、一般ユーザー には内容が伝わってこず、不安があります(どのような対策になったのか、さっ ぱりわからない)。SSH秘密鍵の扱いについて、コミュニティの方針を示してく ださい。少なくとも、わたしはこの問題がクリアにならない限り、コミッター になろうとは思えません。 -- M.Kamataki http://openoffice-docj.sourceforge.jp/wiki/Special:ListAllBlogs/ http://nstage.ddo.ne.jp/~kamataki/pb/ At Mon, 03 Sep 2007 06:24:42 +0900, [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: おはようございます。当件について1ヶ月以上返答がなかったため、 埋もれてしまって気づかれないことを避けるためあえてスレッドを 切って再度同じ内容で投稿しました。 khiranoさん、「現在調査中です」とのことでしたが現在もまだ調査中で しょうか。調査途中であっても、これまでに分かっている範囲で 事実関係や経過等について教えてはもらえないでしょうか。 私信メールとML上とでいくつか問い合わせいただいてますが、調査に必要な 情報については回答済みのつもりでいます。見落とし等あれば、指摘なり 催促なりをお願いします。 現在、具体的な対策のひとつとしてコミット権の整理が行われていますが、 具体的な事案として何が起きてどう対応したのかを明らかにするのは、 再発防止や自分たちの活動が何物であるかの再認識など様々な観点から やはり重要だと思いますので。 また、OOo日本ユーザー会の以下のページには、コミッターへの注意事項として http://ja.openoffice.org/documents/develop/howtobe_a_developer.html SSH2 DSA key は絶対に手元においてください。 決して共用のサーバに置いてはなりません。 盗まれてしまった場合、多くの人に迷惑がかかります。 この約束が守れない方は committer にはなっていただかない方針です。 という記述があります。流出と悪用(の可能性)の発覚と、コミット権の整理、 を経た現在も依然としてkhirano氏はオブザーバー以上の権限を与えられており、 コミッターのままでいる件についても、理由や経緯は説明される必要があると 思います。 - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱い について
鎌滝です。 相変わらず音沙汰なしですね。 わたしはIssueするのが良いと思います。次のQAに入るようなので、来週いっ ぱいを期限として、khiranoさんに説明してもらいましょう。 これはコミュニティのリスク・マネジメントに関わるので、当然ながら中田さ んの説明も求められます。中本さんとのやりとりがありますが、一般ユーザー には内容が伝わってこず、不安があります(どのような対策になったのか、さっ ぱりわからない)。SSH秘密鍵の扱いについて、コミュニティの方針を示してく ださい。少なくとも、わたしはこの問題がクリアにならない限り、コミッター になろうとは思えません。 -- M.Kamataki http://openoffice-docj.sourceforge.jp/wiki/Special:ListAllBlogs/ http://nstage.ddo.ne.jp/~kamataki/pb/ At Mon, 03 Sep 2007 06:24:42 +0900, [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: おはようございます。当件について1ヶ月以上返答がなかったため、 埋もれてしまって気づかれないことを避けるためあえてスレッドを 切って再度同じ内容で投稿しました。 khiranoさん、「現在調査中です」とのことでしたが現在もまだ調査中で しょうか。調査途中であっても、これまでに分かっている範囲で 事実関係や経過等について教えてはもらえないでしょうか。 私信メールとML上とでいくつか問い合わせいただいてますが、調査に必要な 情報については回答済みのつもりでいます。見落とし等あれば、指摘なり 催促なりをお願いします。 現在、具体的な対策のひとつとしてコミット権の整理が行われていますが、 具体的な事案として何が起きてどう対応したのかを明らかにするのは、 再発防止や自分たちの活動が何物であるかの再認識など様々な観点から やはり重要だと思いますので。 また、OOo日本ユーザー会の以下のページには、コミッターへの注意事項として http://ja.openoffice.org/documents/develop/howtobe_a_developer.html SSH2 DSA key は絶対に手元においてください。 決して共用のサーバに置いてはなりません。 盗まれてしまった場合、多くの人に迷惑がかかります。 この約束が守れない方は committer にはなっていただかない方針です。 という記述があります。流出と悪用(の可能性)の発覚と、コミット権の整理、 を経た現在も依然としてkhirano氏はオブザーバー以上の権限を与えられており、 コミッターのままでいる件についても、理由や経緯は説明される必要があると 思います。 - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱い について
中本です。 # リリース作業でこのことすっかり忘れていました。 [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] も関わらず [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] に登録されていない方がいるみたいですね。そうなる と、その人のログは多分 [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] への投稿ができないようになっているの ではないかと推測されます。 まぁ、でもとりあえずコミッタなんですから、登録していない人は [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] に登録するようにしてください。 コミッタのみなさん ちなみに、登録しなければいけないのは [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] というアドレス です。個人メールアドレスや会社で使っているアドレスを登録してもダメだと 思います。From(送信者)を [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] というアドレスにして、 [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] に空メールを送信すると、確認メールがきますので、それをそのまま返信すれ ば登録ができます。 それから、コミッタの方全員が [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] に登録しているのか確認してくだ さい。登録していないが故に誰も悪意のある変更に気づかなかったとか、アホ らしいので、コミッタ全員に登録させましょう。 プロジェクトリーダー -- 中本 崇志 (Takashi Nakamoto) E-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] Homepage: http://bd.tank.jp/ Blog: http://bd.tank.jp/diary/ On Mon, 08 Oct 2007 06:10:01 +0900 [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: みなさん、2.3リリース作業おつかれさまでした。 そしてkhiranoさん、本件の調査と報告をお願いいたします。 khiranoさん、「現在調査中です」とのことでしたが現在もまだ調査中で しょうか。調査途中であっても、これまでに分かっている範囲で 事実関係や経過等について教えてはもらえないでしょうか。 私信メールとML上とでいくつか問い合わせいただいてますが、調査に必要な 情報については回答済みのつもりでいます。見落とし等あれば、指摘なり 催促なりをお願いします。 現在、具体的な対策のひとつとしてコミット権の整理が行われていますが、 具体的な事案として何が起きてどう対応したのかを明らかにするのは、 再発防止や自分たちの活動が何物であるかの再認識など様々な観点から やはり重要だと思いますので。 また、OOo日本ユーザー会の以下のページには、コミッターへの注意事項として http://ja.openoffice.org/documents/develop/howtobe_a_developer.html SSH2 DSA key は絶対に手元においてください。 決して共用のサーバに置いてはなりません。 盗まれてしまった場合、多くの人に迷惑がかかります。 この約束が守れない方は committer にはなっていただかない方針です。 という記述があります。流出と悪用(の可能性)の発覚と、コミット権の整理、 を経た現在も依然としてkhirano氏はオブザーバー以上の権限を与えられており、 コミッターのままでいる件についても、理由や経緯は説明される必要があると 思います。 - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱いについて
みなさん、2.3リリース作業おつかれさまでした。 そしてkhiranoさん、本件の調査と報告をお願いいたします。 khiranoさん、「現在調査中です」とのことでしたが現在もまだ調査中で しょうか。調査途中であっても、これまでに分かっている範囲で 事実関係や経過等について教えてはもらえないでしょうか。 私信メールとML上とでいくつか問い合わせいただいてますが、調査に必要な 情報については回答済みのつもりでいます。見落とし等あれば、指摘なり 催促なりをお願いします。 現在、具体的な対策のひとつとしてコミット権の整理が行われていますが、 具体的な事案として何が起きてどう対応したのかを明らかにするのは、 再発防止や自分たちの活動が何物であるかの再認識など様々な観点から やはり重要だと思いますので。 また、OOo日本ユーザー会の以下のページには、コミッターへの注意事項として http://ja.openoffice.org/documents/develop/howtobe_a_developer.html SSH2 DSA key は絶対に手元においてください。 決して共用のサーバに置いてはなりません。 盗まれてしまった場合、多くの人に迷惑がかかります。 この約束が守れない方は committer にはなっていただかない方針です。 という記述があります。流出と悪用(の可能性)の発覚と、コミット権の整理、 を経た現在も依然としてkhirano氏はオブザーバー以上の権限を与えられており、 コミッターのままでいる件についても、理由や経緯は説明される必要があると 思います。 - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] おや ( Re:[ja-discuss] Re: SSH秘密鍵の扱いについて)
仲良くするのも大切ですが、だからといって、規則違反を犯して公式サイトを改竄の危険にさらした件を 不問に付すなれあい所帯であっていいとは思えません。 (幸いなことに改竄といっても、発覚している範囲では、小バカ者のイタズラが二件あっただけのようですが。 もしも大バカ者や狡猾者にイタズラされてたら、と思うとゾッとしませんか?) OpenOffice.orgの発展を願う組織としては、キチンと対応して、なれあい所帯でないことを行動で示していくことは重要でしょう。 せめてML程度には公の場で、皆に分かるように事情や経緯の説明が欲しいところです。 (それとも、このままうやむやでいいと皆思ってるのかなあ?うーむ。) - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
[ja-discuss] おや ( Re:[ja-discuss] Re: SSH秘密鍵の扱いについて)
当事者様は何ヶ月でもダンマリを続けて逃げ切るつもりですか? 自分がツッコム側のときは 今回のヤマト運輸による荷物破損、 そしてこれに対するヤマト運輸の対応のまずさは、 このコンプライアンスの欠如が引き起こしたものである。 ヤマト運輸の社員一人ひとりにコンプライアンスの意識が徹底していなかったのだ。 経営者責任が問われる問題である。 そして事故原因の徹底究明と、実際にどのような対応が行われたのかという事実の徹底調査、 および今後このようなことが起こらないようにするための具体的対策の明示を求めるといっていた。 同時にこれまでの経緯を事実ありのままにウェブつまりインターネット上に公開するといっていた。 やら コンプライアンスとガバナンスは、今、どんな企業でも、公的機関でも、公益法人でも、 その重要性が叫ばれているところです。独立行政法人も例外ではないでしょう。 外部から騒がれて、問題が明らかになり、あわてて謝罪するよりも、迅速に自ら調査して、 問題に対処し、修正、解決する自浄力を発揮していただきますようお願い申し上げます。 やら、妥協を許さない強烈な姿勢で、返事が得られるまで執拗にメールや電話を繰り返すというのに。 自分が問題をおこしてツッコまれる側のときは、徹底究明、徹底調査、自浄力、はどこへやら、 うってかわってダンマリとは。 つねづねコンプライアンスやガバナンスについて力説している身で、あからさまなダブルスタンダード を実践するのは問題でしょう。それとも、自分だけは「例外」ですか? 念のため、明示しておきましょう。 この投稿は、khirano(平野)さんに対する意見と問いかけです。ご本人からのML上での回答をお待ちしています。
[ja-discuss] Re: SSH秘密鍵の扱いについて
おはようございます。当件について1ヶ月以上返答がなかったため、 埋もれてしまって気づかれないことを避けるためあえてスレッドを 切って再度同じ内容で投稿しました。 khiranoさん、「現在調査中です」とのことでしたが現在もまだ調査中で しょうか。調査途中であっても、これまでに分かっている範囲で 事実関係や経過等について教えてはもらえないでしょうか。 私信メールとML上とでいくつか問い合わせいただいてますが、調査に必要な 情報については回答済みのつもりでいます。見落とし等あれば、指摘なり 催促なりをお願いします。 現在、具体的な対策のひとつとしてコミット権の整理が行われていますが、 具体的な事案として何が起きてどう対応したのかを明らかにするのは、 再発防止や自分たちの活動が何物であるかの再認識など様々な観点から やはり重要だと思いますので。 また、OOo日本ユーザー会の以下のページには、コミッターへの注意事項として http://ja.openoffice.org/documents/develop/howtobe_a_developer.html SSH2 DSA key は絶対に手元においてください。 決して共用のサーバに置いてはなりません。 盗まれてしまった場合、多くの人に迷惑がかかります。 この約束が守れない方は committer にはなっていただかない方針です。 という記述があります。流出と悪用(の可能性)の発覚と、コミット権の整理、 を経た現在も依然としてkhirano氏はオブザーバー以上の権限を与えられており、 コミッターのままでいる件についても、理由や経緯は説明される必要があると 思います。 - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱い について
私が投稿した内容に、少し補足させてください。 tora - Takamichi Akiyama wrote: 今回の http://ja.openoffice.org にはふさわしくないディレクトリが作成され てしまったり、ふさわしくないファイルがアップロードされていたという事実。 やはりどうしても信じがたいのです。でも事実なんですよね。だとしたら、 ・本人がやった。 ・本人がコンピュータにタイプした内容を悪意のあるソフトウェアによって 残らず記録されて、その盗んだ情報を元に第三者がやった。 決して、平野さんご本人がそのようなことをやったのではないか、などと 言いたかったのではありません。でも、上記の書き方では誤解を招いてし まったような気がいたします。 平野さん、もしもお気を悪くされていらしたら、ごめんなさい。 謝ります。 公開鍵・秘密鍵によるログイン認証には、秘密鍵を記録した(1)「テキストファイル」、 そのテキストファイルの内容の暗号化を解く(2)「パスフレーズ」が必要です。 さらに今回は、ja.openoffice.org の CVS サーバーへログインするための (3)「パスワード」も必要となります。これだけの情報を正しく揃えられるのは、 本人のみではないか。といわれてもしかたがないのでは。という客観的な事実 を述べたかっただけです。 関連情報 (xxx.openoffice.org Webサーバーなどの内容を更新する方法) http://www.openoffice.org/scdocs/ddSSHGuide Tora - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱い について
今回の http://ja.openoffice.org にはふさわしくないディレクトリが作成され てしまったり、ふさわしくないファイルがアップロードされていたという事実。 やはりどうしても信じがたいのです。でも事実なんですよね。だとしたら、 ・本人がやった。 ・本人がコンピュータにタイプした内容を悪意のあるソフトウェアによって 残らず記録されて、その盗んだ情報を元に第三者がやった。 のどちらかぐらいしか私には考えつかないです。まあ、セキュリティねたには、 絶対にそんなことはありえない。なんていう前提は成り立たないでしょうから、 なんともいえませんが。 shu minari wrote: 一応下記に、公開されていた鍵ファイルらしき物のmd5sumを添付します。 自分のか心配な人はsumを照合してみてください。 b624206c23794c65d836a9e5a11a872e id_dsa 42a44b3b9794369ce0e1463c6529293a id_dsa.pub 秘密鍵と呼ばれる id_dsa というファイル名のテキストファイルの内容については、 今回のようなもしもの漏洩対策として、公開鍵と秘密鍵を同時に生成する時に 暗号化して保存するのが、なかば常識的な運用方法です。その暗号化のための キーをパスワードとは呼ばずにパスフレーズと呼んだりしているようです。 このパスフレーズは、公開鍵と秘密鍵の生成した後の保存前に入力するように 求められるのが、この手の多くのソフトウェアの仕様だと思います。 その手元にしか置かない秘密鍵(id_dsa)ファイルの内容と、ja.openoffice.org の サーバー側にあらかじめ登録しておく公開鍵(id_dsa.pub)ファイルの内容の組を使って 接続を確立するためには、接続時に暗号化を解除するためにそのパスフレーズが必要 となりますので、パスフレーズを入力するように求められます。なお、暗号化していないと、 パスフレーズの入力は求められずに即座に接続してしまいます。 また、ja.openoffice.org 側の CVS サーバーにログインするためにも、別のパスワード が必要となります。 このように、そう簡単には破られるような仕組みにはなっていませんです。 今回は ja.openoffice.org の Web サーバーの内容についてですけど、上記の方法は OpenOffice.org のソースコードについても同様な仕組みで運用されているようです。 まさか、とは思いますが、パスフレーズやパスワードなどをテキストファイルに書いて いて、そのファイルも公開鍵・秘密鍵のファイルなどと一緒に盗まれたのかしらん。 とにかく、いったい何が起きたのか。 是非とも、当事者からの「簡単でいいから(セキュリティねたですので詳しい内容は 公開しないでくださいね)」説明が欲しいところです。 同様な事件を再発させない教訓にするためにも。 Tora - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱いについて
Yです。 巳鳴さんありがとうございます。 On Wed, 4 Jul 2007 23:29:13 +0900 shu minari wrote: 鍵といくつかのパスワードがないとは利用できないシステムですので 早々やられないと私は思っています。 んー。まあ,確かにそうですけどね。 複数の鍵を付けているドアでも,鍵を一つ落としたらちゃんとその鍵は付け替え ますよね…。 一応下記に、公開されていた鍵ファイルらしき物のmd5sumを添付します。 自分のか心配な人はsumを照合してみてください。 とりあえず私のではありませんでした。 ただ,誰のかは分かりました。あとはご本人の対応か,運営側の対応を待ちます。 Y (Yosuke Kato) - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱い について
みなりです。 んー。まあ,確かにそうですけどね。 複数の鍵を付けているドアでも,鍵を一つ落としたらちゃんとその鍵は付け替え ますよね…。 まぁ鍵を本当に落としたなら普通は変えますが、 そこは運営する方が判断するものなんで、なんともいえないっすなぁ。 また、鍵らしきものとしか私にはわからないので何とも言えないです。 -- Shu Minari::foral at openoffice.org =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= ja.openoffice.org committer::http://ja.openoffice.org/ private home page::http://www.openship.org/ - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
Re: [ja-discuss] Re: SSH秘密鍵の扱い について
巳鳴です。 物は、確認しました。 一時的にでも、SSH用の秘密鍵らしきファイルが公開されていたことは事実です。 #そう見える内容にはなっていますが偽装作成したものか、本物か。 #また、本物だとしても登録されているものと同一の物かは私には判断できません。 #また、誰の物かも私にはわかりません。 PS 以前は削除したファイルもcvsから引っ張り出せたんですが,その機能って もう無くなったんですかね。 元を消したと言う事だと思います。 CVSは仕組み上、元を消すためには、サーバ上の管理者権限(恐らくはコラボネットの人間が持っている)が必要です。 管理権限者が介在しているため、もし、漏れていたのであれば何らかの処置がされたと推測されます。 しかし、jaのCVS上にあったことからjaのOwnerに連絡が行っていた可能性はありますが、 ssh関連の管理は、ja以外のところ(sunの人かな?どこのだれ?やろ)が行っていますので、 そこに聞かないとわからないと思います。 何にせよ。鍵が漏れたとしたらそれはそれで問題ですが 鍵といくつかのパスワードがないとは利用できないシステムですので 早々やられないと私は思っています。 一応下記に、公開されていた鍵ファイルらしき物のmd5sumを添付します。 自分のか心配な人はsumを照合してみてください。 b624206c23794c65d836a9e5a11a872e id_dsa 42a44b3b9794369ce0e1463c6529293a id_dsa.pub それでは On Wed, 04 Jul 2007 00:05:27 +0900 Yosuke Kato [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] wrote: こんばんは。Yです。 こんなディレクトリやファイルができていたことは全く気づいていませんでした。 一応調べてみたのですが,さすがにcvsログのメールはそんなに保存していない ため,ローカルではログを検索できませんでした。また,私ではコミットログな ども探せませんでした…。 その他,いろいろ探してみたのですが, On Mon, 02 Jul 2007 05:41:42 +0900 ooousr wrote: http://ja.openoffice.org/compliance/www/kuronekoyamato/co/jp/2195-2920-2045.html このディレクトリの痕跡を見つけた程度でした。 もし,秘密鍵が流出していたとすれば登録のやり直しをすべきかと思いますが (そこまで大変な作業でもないですし),どなたも反応しないとするとこの話題 はすでに対処済みだったということですか? PS 以前は削除したファイルもcvsから引っ張り出せたんですが,その機能って もう無くなったんですかね。 Y (Yosuke Kato) - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] -- Shu Minari::foral at openoffice.org =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= ja.openoffice.org committer::http://ja.openoffice.org/ private home page::http://www.openship.org/ - To unsubscribe, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;] For additional commands, e-mail: [#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]