アカウント名:
パスワード:
「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」
開発元の中の人はアホですか・・・?どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。わかってないんだろうな。
そういえば某所で
・HTMLソースに <input type="hidden" name="password" value="password"> みたいな感じでパスワードを含めていたり・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、管理者としてユーザ管理画面を表示できちゃったり
なんてのも見たことあったなあ。ま、10年くらい昔の話ですが。
さすがに今はもう、そんな牧歌的なセキュリティ意識で開発/運用してる会社なんかないでしょうけどね。
# 無いと信じたい信じたい信じたい
そこまで杜撰ではないですが、Cookieに平文でID・パスワードを保存しているサイト、なんていうのも、時々見かけますね。それだけでは問題が顕在化しにくいのですが、XSSやCSRFの影響をもろに受けるので非常に危険かな、とは思います。(何度かIPA経由で指摘はしましたが、修正されてないサイトのほうが多いですね……。)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
GETとか関係ねぇ (スコア:2, 興味深い)
開発元の中の人はアホですか・・・?
どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。
わかってないんだろうな。
屍体メモ [windy.cx]
Re: (スコア:0)
そういえば某所で
・HTMLソースに <input type="hidden" name="password" value="password"> みたいな感じでパスワードを含めていたり
・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、管理者としてユーザ管理画面を表示できちゃったり
なんてのも見たことあったなあ。
ま、10年くらい昔の話ですが。
さすがに今はもう、そんな牧歌的なセキュリティ意識で開発/運用してる会社なんかないでしょうけどね。
# 無いと信じたい信じたい信じたい
Re:GETとか関係ねぇ (スコア:2)
そこまで杜撰ではないですが、Cookieに平文でID・パスワードを保存しているサイト、なんていうのも、時々見かけますね。それだけでは問題が顕在化しにくいのですが、XSSやCSRFの影響をもろに受けるので非常に危険かな、とは思います。
(何度かIPA経由で指摘はしましたが、修正されてないサイトのほうが多いですね……。)