パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」記事へのコメント

  • 「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」

    開発元の中の人はアホですか・・・?
    どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。
    わかってないんだろうな。

    --
    屍体メモ [windy.cx]
    • Re: (スコア:1, 興味深い)

      by Anonymous Coward

      あまり理解してないので、誤解があったら指摘していただきたいのですが。

      google AnalyticsやリファラなどでIDやパスワード情報をURLに含んで渡っていた事が
      管理画面までクロールされてしまう原因となったので、とりあえずURLにIDやパスワー
      ドを含まないようにするというのは、対策の一つとして必要なのでは?

      勿論、そもそも不特定多数がアクセス出来るような場所に管理画面を置いておくんじゃ
      ないよ!とか。ボットにクロールされるようにしとくな!とか、色々あるとは思いますけど。

      サーバはお客さんの自主管理で、汎用的なネットショップスクリプトみたいなものを
      売るとしたら、意外と厄介だと思うんですけどね。

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...