アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
またかって感じ (スコア:4, 興味深い)
というか、今もある。
これについてはサイボウズも認識しているはずなのですが放置プレイのままです。
Login用のクッキーはエンコードしてあるんだけど、アカウントを渡すパラメータが平文のままで、こいつを偽装すると成り済ましが可能ってのはバグとかミスとかって過失の問題ではなくデザインとかセキュリティをないがしろにする姿勢の問題なんじゃないかと。
#ガルーンを使っている人は試してみよう!
そう言う風に姿勢の問題だと思えば、今回の対応なんかも、なるほどって納得できるよね。
ガルーン2になって直っている風情なんですが、2は2で製品のラインナップ上の問題がいろいろあるので簡単には乗り換えられないし。
Re:またかって感じ (スコア:1, 興味深い)
というか、シングルサインオンを使ってこの脆弱性があるってことだと他のシステムへも問題が波及するわけで、ある意味もっと大問題。
平文で渡され、PC側で管理されるクッキーを認証情報として利用しようってのがそもそもの大間違い。
でも、きっとこういうのってなかなか心入れ替えないんだろうなぁ。
Re:またかって感じ (スコア:0)
これで結構な保守料取ってるんだからいい商売だよな。
『保守料は頂きます』、『でもその脆弱性は危険ではありません』とか『社内で使うものだから緊急の修正の必要はありません』じゃ詐欺だよ。
#やっぱ、高くても Notes にすればよかった。