アカウント名:
パスワード:
「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」
開発元の中の人はアホですか・・・?どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。わかってないんだろうな。
そういえば某所で
・HTMLソースに <input type="hidden" name="password" value="password"> みたいな感じでパスワードを含めていたり・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、管理者としてユーザ管理画面を表示できちゃったり
なんてのも見たことあったなあ。ま、10年くらい昔の話ですが。
さすがに今はもう、そんな牧歌的なセキュリティ意識で開発/運用してる会社なんかないでしょうけどね。
# 無いと信じたい信じたい信じたい
> 中小企業では無く超大企業が納入
<導入側の(ユーザーの)言い分> そのくらいのセキュリティは言われなくてもやるのが当然だろ! 常識考えろ!
<納入側の言い分> 要件書にないものがあるわけないだろ常識考えろ! コンサルまでやってほしけりゃ、その分金出せ!
・・・ではないでしょうか?
単なる特注のシステムならともかく、セキュリティって利用者の想定を越えたところにあるものだから、請け負う側で対策できないとダメだよね。まあ、そういう僕はセキュリティ対策なんて出来る人間ではないですが。
でも、内部システムって、普通甘々じゃない?人間系も含めて、費用対効果の問われるところだよね。
>でも、内部システムって、普通甘々じゃない?
「普通」ですと?……(´・ω・`)
流出事件って内部犯行がけっこう多いですよね。中の人しか使わなくても油断しちゃ駄目ですよう。
その辺のコミュニケーションコストを減らすために、「非機能要件についてはIPAの××ガイドラインに従うこと。なお、具体的な指示・指定を必要とする場合は、別途定めるQA票で当社に確認すること」とか書ける世界になってるとお互いハッピーですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
GETとか関係ねぇ (スコア:2, 興味深い)
開発元の中の人はアホですか・・・?
どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。
わかってないんだろうな。
屍体メモ [windy.cx]
Re: (スコア:0)
そういえば某所で
・HTMLソースに <input type="hidden" name="password" value="password"> みたいな感じでパスワードを含めていたり
・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、管理者としてユーザ管理画面を表示できちゃったり
なんてのも見たことあったなあ。
ま、10年くらい昔の話ですが。
さすがに今はもう、そんな牧歌的なセキュリティ意識で開発/運用してる会社なんかないでしょうけどね。
# 無いと信じたい信じたい信じたい
Re:GETとか関係ねぇ (スコア:0)
>なんてのも見たことあったなあ。
>ま、10年くらい昔の話ですが。
私は今日も会社で見ましたし明日も会社で見ることでしょう・・・
それ以外の我が社のシステム(一部)
1、情報検索ソフト
→ソフトウェア起動時にパスワードが必要だがini(当然プレーンテキスト)ファイルに
平文で生パスワードが保存されている、ハードディスクがFAT32フォーマットなので
アクセス制限すら無い、尤も表示するデータがパスワード無しでフルアクセス可能なサーバ上に
プレーンテキストで保存されているのでパスワードどころかソフト自体存在意味が殆ど無い
ちなみに扱うデータは顧客の個人情報含んだファイル、ご丁寧に端末にはUSBとDVD-Rとプリンタが使用可能です
中小企業では無く超大企業が納入
2、販売発注配送管理ソフト
→通常のセキュリティとアクセス制御だと思われる
但しoutlookのパブリックフォルダにマスターパスワードが公開されている
3、販売発注配送管理ソフト(2のソフトとは別物)
>・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、
>管理者としてユーザ管理画面を表示できちゃったり
正にコレ、と言うか1部署でほぼ似たり寄ったりの業務なのに2つのソフトを使い分ける必要が・・・
一応全てのシステムが外部に直接繋がっている訳では無いのがまだマシな方ですが・・・
それ以外にもお粗末なシステムや運用が大量にあるのですが書きすぎると特定されそうなので・・・
Re:GETとか関係ねぇ (スコア:1, 参考になる)
> 中小企業では無く超大企業が納入
<導入側の(ユーザーの)言い分>
そのくらいのセキュリティは言われなくてもやるのが当然だろ!
常識考えろ!
<納入側の言い分>
要件書にないものがあるわけないだろ常識考えろ!
コンサルまでやってほしけりゃ、その分金出せ!
・・・ではないでしょうか?
Re: (スコア:0)
単なる特注のシステムならともかく、セキュリティって利用者の想定を越えたところにあるものだから、請け負う側で対策できないとダメだよね。
まあ、そういう僕はセキュリティ対策なんて出来る人間ではないですが。
でも、内部システムって、普通甘々じゃない?
人間系も含めて、費用対効果の問われるところだよね。
Re: (スコア:0)
>でも、内部システムって、普通甘々じゃない?
「普通」ですと?……(´・ω・`)
流出事件って内部犯行がけっこう多いですよね。
中の人しか使わなくても油断しちゃ駄目ですよう。
Re: (スコア:0)
その辺のコミュニケーションコストを減らすために、「非機能要件についてはIPAの××ガイドラインに従うこと。なお、具体的な指示・指定を必要とする場合は、別途定めるQA票で当社に確認すること」とか書ける世界になってるとお互いハッピーですね。