[過去ログ] 地デジのロケフリシステムを作るスレ15 (1002レス)
上下前次1-新
抽出解除 必死チェッカー(本家) (べ) レス栞 あぼーん
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
637(1): (ワッチョイ fe7c-jMfl) 2023/11/21(火) 00:30:31.39 ID:T4R9caKR0(1/8)調 AAS
>>636
castならchromeブラウザで再生して、再生しているタブをキャストしたらいい。コンテンツを直接キャストするより遅延は増えるけど条件緩くキャスト出来る。
もっと簡単に、HDMIケーブル持ってってHDMI接続するのが簡単かつ確実だけど。
638(1): (ワッチョイ fe7c-jMfl) 2023/11/21(火) 00:36:39.53 ID:T4R9caKR0(2/8)調 AAS
>>635
パスワードは難度および長さについては重要だけど定期的に変えることは現行基準では推奨されていないよ。
2017年に米NISTが、2018年には日本の総務省が、パスワードの定期的な変更について否定的な見解を発表している。
定期的な変更をすることで、より覚えやすいパスワードが選択されがちになり、ブルートフォース攻撃やディクショナリ攻撃に弱くなるから。
ブルートフォース攻撃やディクショナリ攻撃に耐えられる、十分な強度かつ長さのあるパスワードを固定的に運用した方が良い。
644: (ワッチョイ fe7c-jMfl) 2023/11/21(火) 19:47:59.59 ID:T4R9caKR0(3/8)調 AAS
>>640
上のスクリプトを使う前提、って>>635で言ってないんだけど、何故それがスレ全員の前提だと思ってるんだ?
なんかやたらスクリプトに自信があるようなので指摘するけど。
・パスワード生成、BASE64で16バイト分なんてやってるから、パディングの==が必ず入ってBASE4とモロバレになって強度を自分で下げてる。BASE64の4/3倍とパディングの原則考えて指定しないと。
・セキュリティ対策しながらパスワード通知したいなら、今時、メッセージングツールへのIncoming Webhook使うのが基本でしょ。ITに詳しくない個人宛でもLINEで通知出来るのに、メールて。
/dev/urandom使って大文字小文字記号交じりの24桁生成して固定設定で十分なところを、余計な手間増やしてよりセキュアじゃない方向に持っていってるよ、それ。
確かにそのシステムではそう簡単には破られんけどさ、パスワードはそもそも通知しない、ってのが最も安全なんだから、それで十分な話。
651(1): (ワッチョイ fe7c-jMfl) 2023/11/21(火) 21:57:51.82 ID:T4R9caKR0(4/8)調 AAS
>>645
100点満点中、80点でだいたい破られない、ってところで、/dev/urandom使って大文字小文字記号交じりの24桁生成して固定設定するだけで95点取れるところを、
わざわざ穴だらけのお手製スクリプトを回して83点まで下げている、ってお話よ。確かに早々破られないシステムなのは間違いないけど、ドヤ顔して穴を増やしてもね。
655: (ワッチョイ fe7c-jMfl) 2023/11/21(火) 22:06:09.66 ID:T4R9caKR0(5/8)調 AAS
>>654
ただ安全なPWを固定設定するだけで破られないのよ?
余計で不要なシステム追加してなんの意味が?
自己満足?
ということです。
自分でやっていることで、セキュリティレベルが劣化している、ということに気付きましょう。
劣化していようがしまいが、結局破られなければ同じ、なら、余計なことで劣化させない方がより良いでしょう。
656: (ワッチョイ fe7c-jMfl) 2023/11/21(火) 22:10:42.65 ID:T4R9caKR0(6/8)調 AAS
もっと端的に言うとね。
パスワード認証の範囲なら、乱数で大文字小文字数字記号入りの20桁位の固定設定するだけで対策はできている。
これで十分なお話。それ以外のことをやるのは無意味。
もっとセキュリティレベルを上げたいなら、クライアント証明書や二要素認証を使いましょう。
一要素認証のシステムは、乱数で大文字小文字数字記号入りの20桁位の固定設定、に勝るセキュリティレベルを提供出来ません。
658: (ワッチョイ fe7c-jMfl) 2023/11/21(火) 22:13:31.18 ID:T4R9caKR0(7/8)調 AAS
セキュリティレベルを下げる余計な機能を実装して、セキュアにした気になる、というのも確かに美学よね。
660: (ワッチョイ fe7c-jMfl) 2023/11/21(火) 22:31:25.86 ID:T4R9caKR0(8/8)調 AAS
>>659
実用上、脆弱性を突かれない、正攻法の攻撃により権限奪取されることはまず無いと思うよ、このシステムでは。
ただ、セキュリティレベルを下げるだけの無駄なことやってんなー、それをドヤ顔でアピールしてんなー、ってだけで。
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 1.522s*