アカウント名:
パスワード:
そもそも情報流出が「出来ない」仕組みを義務づける必要があるのでは
USBポートを封鎖するとか、外部へのファイル送信は上役による検閲・承認を必須とするとかsensitiveな情報をこれだけバンバン漏らしてる以上、利便性がーとか負担がーなんて言い訳はもう通用しませんよ
DBAやBACKUPのアカウントが漏れてるなんてのは問題外なのでそれはおくとして、DBのクエリがサイズ無制限のカーソルを返すのは脆弱性だと思う。件数制限すれば、テーブル全体を持ち出すのは困難になるし、制限は簡単にかけられる。情報漏えいを完全に防ぐことはできないけど、60万件を600件にするくらいの効果はあると思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
これだけ公的機関の情報流出事件が続くと... (スコア:0)
そもそも情報流出が「出来ない」仕組みを義務づける必要があるのでは
USBポートを封鎖するとか、外部へのファイル送信は上役による検閲・承認を必須とするとか
sensitiveな情報をこれだけバンバン漏らしてる以上、利便性がーとか負担がーなんて言い訳はもう通用しませんよ
Re:これだけ公的機関の情報流出事件が続くと... (スコア:0)
DBAやBACKUPのアカウントが漏れてるなんてのは問題外なのでそれはおくとして、
DBのクエリがサイズ無制限のカーソルを返すのは脆弱性だと思う。
件数制限すれば、テーブル全体を持ち出すのは困難になるし、制限は簡単にかけられる。
情報漏えいを完全に防ぐことはできないけど、60万件を600件にするくらいの効果はあると思う。