Mastodonに移住してから、かつてTwitterと呼ばれていた存在との付き合い方が個人的にだいぶ変化してきた。ツイートはほとんどしなくなって、「読む専」「すけべイラストいいね専」に移行した。
と同時に、SNSやネットとのつきあい方についても、だいぶ意識が変わってきた。
これまでは、Twitterを見て、感情が動かされ、その動いた感情を文字にしてツイートし、何らかの反応をもらえればさらにその感情が増幅され……というサイクルの中に居た。それが、ツイートをしなくなったために反応をもらうこともなくなり、感情を刺激されることがなくなった。
Mastodonではいくつかのサーバーに登録して、用途や趣味嗜好に応じて各サーバーに投稿をボチボチしているが、どのサーバーもTwitterと比べると規模がかなり小さいので、たとえ他ユーザーから何かしらの反応をいただいたとしても、それは限定的で、頭のヘンなヒトが湧いてくる率もかなり小さい。
心がだんだんと穏やかになってくるのを日に日に感じている。 #fedibird
にじみすざっくりまとめ 長いのでたたみます
マスクイーロンのやらかし等でミスキ全体に新規ユーザー流入急増
↓
にじみすも急増、結果としてサーバ維持費跳ね上がる
↓
サーバ代は管理者の個人キャッシュカードで決済していたが、ユーザ急増により上限額突破。決済不履行発生
↓
急遽、銀行口座からの支払いに移行せざるを得なくなる
↓
キャッシュフロー崩壊、本来なら支援額の入金→クレカの決済 で間に合っていたものが、間に合わなくなる
↓
事態が公告され、緊急支援要請
↓
部外者、鯖管理者として失格だのお遊びで運営してるの?等々の放言
↓
管理者、色々重なりすぎて、にじみすの終わりを考え、匂わせ
↓
にじみすユーザー、支援やコメント、リアクションで管理者支援を表明
↓
緊急支援先のKyash、急激な金の移動で運営から止められる。
↓
管理者奮起、にじみす運営も含めた大改造を決定。
この改修が完了すれば、運営費がかなり抑えられる予定。(=キャッシュカードの限度額を超過しない額にまで下がるとのこと 厳密な数字は忘れたけど半分以下になってたはず)
↓
サービス停止を含む大規模改修進行中←イマココ
ソルト無しのMD5ってなんですか3
あとそもそも元のパスワードがショボい場合、
クラッカーが盗んできたハッシュ値に対して
「でたらめなパスワード入力→それをハッシュ化→盗んだハッシュ値と一致するか検証」を延々総当たり攻撃すれば、
そのうち一致する瞬間が来ると思います(これはレインボーテーブル攻撃というらしい)
パスワードを単にハッシュ値として保管しておくだけではまだ安全とは言えませんね…
そこで、パスワードに別の無関係な文字列を付け足してからハッシュ化する手法があります
このときパスワードに付け足す無関係な文字列をソルト(塩)といいます
ハッシュドポテトに塩をかけたら、元のじゃがいもの味を誤魔化せるようになりますね
ソルトは運営側が毎回ランダム生成したりします
「パスワード+ソルト」をハッシュ化したハッシュ値が仮に流出したとして、ソルトが分からないことには元のパスワードを割り出せません
これでより安全になったと言えます
で、今回のピクブラの件ではソルト無しのMD5だったということですね
いかがでしたか?
えんじにゃーの皆さんはちゃんとめちゃつよハッシュ関数を使いましょう!
ソルト無しのMD5ってなんですか2
MD5はハッシュ関数のことです。脆弱性が見つかっていて、利用を推奨されていません
ぐちゃぐちゃになった生成物のハッシュ値を、元の新鮮なパスワードに戻すことはできないと言いましたが、
有り体に言うとMD5はそれができたという報告が上がってきているらしい(でも調べても確証的なソースは得られなかった)
【詳しい人向け補足:強衝突耐性はとっくの昔に突破されてます。弱衝突耐性が突破されたのかされてないのかがネット情報ではよく分からなかった】
ただ現実問題として、今回のピクブラの件ではMD5で生成されたハッシュ値から元のパスワードを特定することが現にできているみたいですね…
ソルト無しのMD5ってなんですか
そもそものところから話をします
パスワード、絶対流出とかしちゃだめですね?
なので運営側は、「普通は」パスワードそのものではなくパスワードを暗号化したものを保管しています
具体的には、ハッシュ関数なるものを使ってパスワードをぐっちゃぐちゃの意味不明の文字列に変換(ハッシュ化)して、それを保管します
ハッシュドポテト、ぐちゃぐちゃに潰されたじゃがいも、それと同じです
ハッシュ化されたパスワード(ハッシュ値といいます)を元の新鮮なパスワードに戻すことはもう誰にもできないので、ハッシュ値を保管するのは安全なわけです
じゃあそれでログインとかはどうやってるかというと…
Aというパスワードを、Bというハッシュ関数でハッシュ化したら、生成されるCというハッシュ値は一意になるという性質があります。何回やっても絶対同じハッシュ値になるし、絶対他と被らない
なので、
ユーザーがログイン画面でパスワード入力
→それをハッシュ化
→生成されたハッシュ値がDBに保管してあるハッシュ値と一致するか検証
とすれば、パスワードそのものが分からなくてもパスワードの照合ができる!
オリキャラのレイたんが好き。すこすこ。
ゲーム楽しんでます。今はスプラ3のサモランが熱い。バイト戦士。磯野―!バイトしようぜー!
アイコンはPicrew