■掲示板に戻る■ ■過去ログ 倉庫一覧■
【管理】テンプレのスパ4WIKI(@wiki)リンクを踏まないように
-
詳しいことはわかりませんが現在、スパ4WIKIのある@wikiがパスワード流出し、
ウィルスが仕込まれたという可能性もあるとのことなので
一時的にローカル欄のリンクを停止しました。
各キャラスレのテンプレにあるWIKIのリンクも安全が確認されるまで踏まないようにお願いします。
安全性が確認された場合はまたスレ立てしてお知らせします。
このスレはage推奨です。
※お願い
各キャラスレにWIKIリンクを踏まないように注意を促す書き込みをお願いします。
>>2以降にテンプレを書きます。
Yahooサイトニュース(安全)
「@wiki」で個人情報流出……全ユーザのパスワードを強制リセット
http://headlines.yahoo.co.jp/hl?a=20140309-00000003-rbb-sci
-
テンプレ
スパ4WIKI、ウィルス感染の危険あり。続報あるまで>>1のリンクは踏まないこと。
掲示板スレッド(安全)
【管理】テンプレのスパ4WIKI(@wiki)リンクを踏まないように
http://jbbs.shitaraba.net/bbs/read.cgi/game/49802/1394457794/l50
Yahooサイトニュース(安全)
「@wiki」で個人情報流出……全ユーザのパスワードを強制リセット
http://headlines.yahoo.co.jp/hl?a=20140309-00000003-rbb-sci
-
2chネットサービス板
【アットウィキ/atwiki】@wikiについて語る Part 10
http://toro.2ch.net/test/read.cgi/esite/1394372385/
あくまで個人のまとめなので書いてあるように全面的な信頼はしないこと
http://toro.2ch.net/test/read.cgi/esite/1394372385/653
簡易まとめ。個人がまとめたものなんで信頼はするな。
【何が起こったの?】
@Wikiのサーバーがクラックされた。
現在のところ確定している被害は以下の3つ。公式でも明言されている。
1:各Wiki管理者および登録ユーザーのパスワード(暗号化されてるが比較的簡単に解読可能)とメールアドレスが流出した
2:一部のWikiにリダイレクト(別のサイトに飛ばす処理)をするスクリプトが仕込まれた
3:@wikiの「パスワード再発行ページ」が改竄された
1はパスワードの使い回しをしていなければぶっちゃけ神経質になることじゃない。メルアドを知られることすら嫌なら捨てアド作らなかったお前が悪い。
2はそもそも@Wikiの仕様でページにJavascriptを仕込めること自体に問題があって、クラック以前の問題。見る側もセキュリティはちゃんとしとけ。
一番問題なのは3で、「ユーザー側には弄りようがないファイルを弄られた」ということは、サーバーの管理者権限かそれに近い致命的な権限を奪われたことになる。
そして現在このような状態に対策がなされたのか、今一つはっきりしていない。
クラックそのものの被害と情報流出からの二次被害が混同されたり、サーバーの管理者権限と各Wikiの管理人の権限が混同されたり、
いい加減な知識に基づいた憶測、悪意はあっても証拠はないデマ、運営会社の対応への不信etcによって非常に情報が錯綜している。
【何が問題なの?】
最大のポイントは「@Wikiの対応が信頼しきれず、リスクが推し量れない」という点に尽きる。
そもそもこんなクラックをされること自体が管理のずさんさを物語っているのだが、
こんな重大な問題が起こったのにサービスの一時停止どころか各Wikiトップに告知すらことすらしない運営会社の対応が不信を加速させている。
前述のパスワード再発行ページ改竄のような、サーバーの管理者権限についてきちんと穴が防いだかすら信用できないのが現状。
-
各キャラスレに>>2のテンプレを転載していただけると助かります。
大事なことなので書き込みの重複は恐れずに。
-
とりあえずローカル欄の順番にリュウスレから貼っていきます。
再投稿可能時間は最小の10秒に設定してあります。
-
転載終了しました。
-
【アットウィキ/atwiki】@wikiについて語る Part 10
http://toro.2ch.net/test/read.cgi/esite/1394372385/656
【アクセスしちゃったけど大丈夫?】
そもそもウイルス感染とJavascriptのスクリプトによる攻撃とではかなり深刻さが違う。
後者でも危険なサイトにリダイレクトされる可能性はあるが、それでもきちんとしたセキュリティ対策(Flashなどのアップデートetc)をしていればリスクは低い。
Javascript利用で他サービスのアカウント情報を盗み出すような手法もないではないが、真っ当なサイト(この場合は「他のサービス」の方が)なら対策済み。
閲覧だけでウイルスに感染、というのは絶対にありえないとは言えないという程度。
別途「アクセスしただけでウイルスに感染する脆弱性」を突かなければいけないからだ。@Wikiを乗っ取ろうが自前のスペースだろうがこの点は変わらない。
可能性で論ずるならネット自体危ない。
不審なファイルをDLしたり実行したりするなら別だが。
過去には実際「閲覧するだけで感染する」ウイルスが猛威を振るったことはあるが、新たに見つかればそのウイルス単体で大騒ぎになるレベルの大事。
ちょうど同時期に「画像にウイルスを仕込む」という話題も出てきたが、これも画像を見るだけでアウトというようなものではない。
他の攻撃手段と組み合わせて使うか、単体なら精々アンチウイルスソフトが仕込んだコードを検知して騒ぐ程度。
いずれも別に@Wikiに限ったリスクではない。スクリプトによる被害との混同、出来る可能性と実現性の混同が大きい。
そのレベルのヤバイ脆弱性を密かに見つけていたスーパーハカーが便乗犯の中に紛れ、@Wiki乗っ取りを利用して被害を拡大させようとしているというなら話は別だが。
-
じゃあ、いつ見ていいの??
-
今でしょ!!
-
うんこ
-
荒らして楽しいか?
わざわざ危険を知らせてくれてるのにどうしようもないやつだな
-
これが荒らしに見えるのか?
どうしようもないやつだな、赤ちゃんかな?
-
【アットウィキ/atwiki】@wikiについて語る Part 11
http://toro.2ch.net/test/read.cgi/esite/1394514954/
最新スレを見る限りでは脆弱性はまだ改善されてないらしいです。
javascriptを切ってから閲覧すると比較的安全のようです。
セキュリティの知識がないので確かなことはわかりませんが。
下記のスレを削除しました。過去ログ倉庫から見て下さい。
WIKIを開いてしまいました
http://jbbs.shitaraba.net/bbs/read.cgi/game/49802/1394671725/l50
-
削除したスレから転載です。>>6
今のところスパ4wikiは問題報告はないし、スパ4wikiの観覧数を考えたら
スパイウェアやウィルスを仕込むような手間をわざわざかけないだろう
艦これやらパズドラなんかとは規模が違いすぎる
あくまで万が一のリスク回避の為にアクセス自粛を呼び掛けてるだけだから
心配し過ぎることはないよ。占いと一緒で「やばい」と言われたら
普段なら気づきもしない些細な事まで気になってしまうだけ
どうしても心配ならウィルススキャンするといい
これだけの為に単発スレを立てるのは好ましくないから、自分で削除依頼だしておいで
今後こういう時は雑談スレなどを利用すればいい
-
>>14の補足
@Wiki関係はこのスレでどうぞ。
age推奨です。
-
【アットウィキ/atwiki】@wikiについて語る Part 12
http://toro.2ch.net/test/read.cgi/esite/1394726718/
なんとも言えないですがアンチウィルスソフトのウィルス定義やjavaを最新のものにアップデートし、
念のためjavascriptを切って閲覧すれば少なくとも既知のウィルスにかかることや有害なスクリプトを
作動させられることはないらしいです。
見る人は自己責任で。
一年で二回情報流出してるので@WIKIから別なところに変えた方がいいのかもしれません。
-
踏むなよ?絶対に踏むなよ?
-
【アットウィキ/atwiki】@wikiについて語る Part 13
http://toro.2ch.net/test/read.cgi/esite/1395059730/
そろそろリンクを復活させたいのですがどの書き込みを信用すればいいんでしょうかね。
どなたか事情に詳しい方いませんか?
このスレッドはage推奨です。
-
あげ
-
あの件以来、閲覧しに行ってないですがwiki管理人さんは移転については
何か言及されてないんでしょうかね?
-
もう大丈夫らしいな
-
@WIKIの公式みればわかるけどもうこのスレ消していいよ管理さん
-
とりあえずローカル欄のリンクは元に戻しました。
閲覧は自己責任ということで。
■掲示板に戻る■ ■過去ログ倉庫一覧■