khiranoさん、または本件の調査を担当されている方、本件の報告はまだでしょうか。
セキュリティ上重要な暗号用の秘密ファイルをkhiranoさんがwikiで流出させてから2年、
自分がこのMLで報告してから1年たちますが、いまだに当事者からも組織からも
経緯や調査結果の説明をもらえていません。
秘密鍵ファイルの流出はなぜどのように起こったのかという原因、
流出したファイルがどう使われていてどう使われてはいないのかという影響範囲、
類似のトラブル再発を抜本的に防止するために何をしたかという対応策、
など、トラブルに対して開示されるべき情報は一般論で言っても多々あると思います。
鎌滝です。
下記の件で、平野さんと私信でやりとりがありました。今までのMLへの問いに
も、私信で応えられていたか、わかりませんが、わたしのような質問を今後も
繰り返さないためにも、あえてMLへ投稿します。
わたしは平野さんのメールの内容(11/9に受け取ったもの)を信じようと思いま
すが、何より問題を長引かせていることがよくありません。ここで区切りをつ
けましょう。
平野さん自身が、MLで説明されるよう再考をお願いします。
--
M.Kamataki
http://openoffice-docj.sourceforge.jp/wiki/Special:ListAllBlogs/
鎌滝です。
相変わらず音沙汰なしですね。
わたしはIssueするのが良いと思います。次のQAに入るようなので、来週いっ
ぱいを期限として、khiranoさんに説明してもらいましょう。
これはコミュニティのリスク・マネジメントに関わるので、当然ながら中田さ
んの説明も求められます。中本さんとのやりとりがありますが、一般ユーザー
には内容が伝わってこず、不安があります(どのような対策になったのか、さっ
ぱりわからない)。SSH秘密鍵の扱いについて、コミュニティの方針を示してく
ださい。少なくとも、わたしはこの問題がクリアにならない限り、コミッター
になろうとは思えません。
--
中本です。
# リリース作業でこのことすっかり忘れていました。
[#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
も関わらず
[#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
に登録されていない方がいるみたいですね。そうなる
と、その人のログは多分
[#x30E1;#x30FC;#x30EB;#x30A2;#x30C9;#x30EC;#x30B9;#x4FDD;#x8B77;]
への投稿ができないようになっているの
みなさん、2.3リリース作業おつかれさまでした。
そしてkhiranoさん、本件の調査と報告をお願いいたします。
khiranoさん、「現在調査中です」とのことでしたが現在もまだ調査中で
しょうか。調査途中であっても、これまでに分かっている範囲で
事実関係や経過等について教えてはもらえないでしょうか。
私信メールとML上とでいくつか問い合わせいただいてますが、調査に必要な
情報については回答済みのつもりでいます。見落とし等あれば、指摘なり
催促なりをお願いします。
現在、具体的な対策のひとつとしてコミット権の整理が行われていますが、
仲良くするのも大切ですが、だからといって、規則違反を犯して公式サイトを改竄の危険にさらした件を
不問に付すなれあい所帯であっていいとは思えません。
(幸いなことに改竄といっても、発覚している範囲では、小バカ者のイタズラが二件あっただけのようですが。
もしも大バカ者や狡猾者にイタズラされてたら、と思うとゾッとしませんか?)
OpenOffice.orgの発展を願う組織としては、キチンと対応して、なれあい所帯でないことを行動で示していくことは重要でしょう。
せめてML程度には公の場で、皆に分かるように事情や経緯の説明が欲しいところです。
当事者様は何ヶ月でもダンマリを続けて逃げ切るつもりですか?
自分がツッコム側のときは
今回のヤマト運輸による荷物破損、
そしてこれに対するヤマト運輸の対応のまずさは、
このコンプライアンスの欠如が引き起こしたものである。
ヤマト運輸の社員一人ひとりにコンプライアンスの意識が徹底していなかったのだ。
経営者責任が問われる問題である。
そして事故原因の徹底究明と、実際にどのような対応が行われたのかという事実の徹底調査、
および今後このようなことが起こらないようにするための具体的対策の明示を求めるといっていた。
おはようございます。当件について1ヶ月以上返答がなかったため、
埋もれてしまって気づかれないことを避けるためあえてスレッドを
切って再度同じ内容で投稿しました。
khiranoさん、「現在調査中です」とのことでしたが現在もまだ調査中で
しょうか。調査途中であっても、これまでに分かっている範囲で
事実関係や経過等について教えてはもらえないでしょうか。
私信メールとML上とでいくつか問い合わせいただいてますが、調査に必要な
情報については回答済みのつもりでいます。見落とし等あれば、指摘なり
催促なりをお願いします。
現在、具体的な対策のひとつとしてコミット権の整理が行われていますが、
私が投稿した内容に、少し補足させてください。
tora - Takamichi Akiyama wrote:
今回の http://ja.openoffice.org にはふさわしくないディレクトリが作成され
てしまったり、ふさわしくないファイルがアップロードされていたという事実。
やはりどうしても信じがたいのです。でも事実なんですよね。だとしたら、
・本人がやった。
・本人がコンピュータにタイプした内容を悪意のあるソフトウェアによって
残らず記録されて、その盗んだ情報を元に第三者がやった。
決して、平野さんご本人がそのようなことをやったのではないか、などと
今回の http://ja.openoffice.org にはふさわしくないディレクトリが作成され
てしまったり、ふさわしくないファイルがアップロードされていたという事実。
やはりどうしても信じがたいのです。でも事実なんですよね。だとしたら、
・本人がやった。
・本人がコンピュータにタイプした内容を悪意のあるソフトウェアによって
残らず記録されて、その盗んだ情報を元に第三者がやった。
のどちらかぐらいしか私には考えつかないです。まあ、セキュリティねたには、
絶対にそんなことはありえない。なんていう前提は成り立たないでしょうから、
なんともいえませんが。
shu minari
Yです。
巳鳴さんありがとうございます。
On Wed, 4 Jul 2007 23:29:13 +0900
shu minari wrote:
鍵といくつかのパスワードがないとは利用できないシステムですので
早々やられないと私は思っています。
んー。まあ,確かにそうですけどね。
複数の鍵を付けているドアでも,鍵を一つ落としたらちゃんとその鍵は付け替え
ますよね…。
一応下記に、公開されていた鍵ファイルらしき物のmd5sumを添付します。
自分のか心配な人はsumを照合してみてください。
とりあえず私のではありませんでした。
みなりです。
んー。まあ,確かにそうですけどね。
複数の鍵を付けているドアでも,鍵を一つ落としたらちゃんとその鍵は付け替え
ますよね…。
まぁ鍵を本当に落としたなら普通は変えますが、
そこは運営する方が判断するものなんで、なんともいえないっすなぁ。
また、鍵らしきものとしか私にはわからないので何とも言えないです。
--
Shu Minari::foral at openoffice.org
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
ja.openoffice.org
巳鳴です。
物は、確認しました。
一時的にでも、SSH用の秘密鍵らしきファイルが公開されていたことは事実です。
#そう見える内容にはなっていますが偽装作成したものか、本物か。
#また、本物だとしても登録されているものと同一の物かは私には判断できません。
#また、誰の物かも私にはわかりません。
PS 以前は削除したファイルもcvsから引っ張り出せたんですが,その機能って
もう無くなったんですかね。
元を消したと言う事だと思います。
CVSは仕組み上、元を消すためには、サーバ上の管理者権限(恐らくはコラボネットの人間が持っている)が必要です。
13 matches
Mail list logo