パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

米シティグループ顧客情報流出、その手口は単純だった」記事へのコメント

  • 普通なら基本設計の時点で却下されるような駄目仕様
    ・・・だけどもうIT業界自体が「普通」じゃないんだろうな、と思わされる

    #こういうのがあるから「JUnitのカバレッジ100%だから絶対大丈夫!」とか言われても信用できないんですよね
    • 基本設計の時点でダメって、REST [wikipedia.org]的なURL構造がダメってこと? 認証が行われないのはもちろんバグだし、それがテストであぶり出されないのは問題だけれどそれはURL構造とは関係ない。
      • by firewheel (31280) on 2011年06月15日 23時09分 (#1970984)

        それはRESTの問題ではない。

        どんな技術を使おうと、認証なしで他人の機密情報にアクセスできたらダメでしょ。

        親コメント
        • by jobsa (39063) on 2011年06月15日 23時27分 (#1970997)
          別にURLに口座番号いれてもいいけど、
          その口座番号がログインしたユーザーのものかチェックしないってのがそもそもの問題だな。
          親コメント
          • by Anonymous Coward
            いや。URLに口座番号入れる事自体が問題ですよ

            まぁ、口座番号入れても認証を通ってなければ単に404を返すような感じならなくもないかもしれないけど
            ・・・やっぱり、気持ちよくない設計ですな
        • duenmynoth氏のコメントでは「基本設計の時点で却下されるような駄目仕様」とされていました。
          元記事から読み取れた"仕様"に関する記述がURL設計だけだったから、氏がどういう風に考えているのか聞きたかったのです。
          認証が行われないのは仕様ではなく単なるバグでしょう。
          親コメント
          • by Anonymous Coward

            > 認証が行われないのは仕様ではなく単なるバグ

            素人目にはそれも含めて仕様だと思うのですが…
            もし単なるバグだとしたら、本来はどのような動作を意図していたのでしょうか?

            • by Anonymous Coward

              魔法のコトバ、「仕様バグ」

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...