パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険」記事へのコメント

  • 非公開URLもPWも知らなきゃ入れないんだから同じだろという理屈はわかるがなんかもにょるな。

    • by Anonymous Coward

      総当たり攻撃の容易さが違う。

      • by Anonymous Coward on 2022年10月28日 16時11分 (#4351562)

        そんなものURLの長さ次第じゃね。試行の繰り返しを検出してブロックしてもいいし、普通の総当たり攻撃と変わらんだろ。

        親コメント
        • by Anonymous Coward

          >試行の繰り返しを検出してブロックしてもいいし

          普通のユーザアクセスとどうやって区別すんの?
          1回ページ表示するだけで、ページ内コンテンツの数だけアクセス回数が発生すると思うけど。
          「1分以内に100回アクセスがあったら」とかいう条件にするの?
          なら1IPアドレスで100回までは簡単に試せるね。

          パスワード認証だったら、同一アカウントで3回パスワード間違えたら1分ロックってするだけで済むけど。

          • by Anonymous Coward

            何桁のURLを試行するつもりなのか知らんがまぁがんばれ。

            • by Anonymous Coward

              普段から検索サイトが常時やってることなんだから、頑張る必要なんかないわな。

          • by Anonymous Coward

            そこはパスワードでの認証でも同じじゃない?

            仮に、/internal/で始まるパスは非公開情報があるとして、「/internal/配下へのアクセスに対して1分以内に100回アクセスがあったら」みたいな条件にする。あるいは「/internal/配下のアクセスに対しての要パスワード(Basic認証でもフォームログインでも)」にする。いずれでもそれ以外(/index.htmlなど)は制限なくアクセス可能にする。

            • by Anonymous Coward

              DOS攻撃し放題ですね

              • by Anonymous Coward

                仮定の話なんだから、いろいろ雑なのは許してくださいよ。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...