パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

米シティグループ顧客情報流出、その手口は単純だった」記事へのコメント

  • 普通なら基本設計の時点で却下されるような駄目仕様
    ・・・だけどもうIT業界自体が「普通」じゃないんだろうな、と思わされる

    #こういうのがあるから「JUnitのカバレッジ100%だから絶対大丈夫!」とか言われても信用できないんですよね
    • 基本設計の時点でダメって、REST [wikipedia.org]的なURL構造がダメってこと? 認証が行われないのはもちろんバグだし、それがテストであぶり出されないのは問題だけれどそれはURL構造とは関係ない。
      • by Anonymous Coward

        URLに秘密情報を入れてはいけないってほとんど常識の部類だと思ったんだけど
        そう油断して基本設計でわざわざ明記しなかったことがこの事故につながったのか。とても良くわかった

        • 参考までに教えて欲しいのだけれど、FORMから口座番号をPOSTするのどれだけの違いがありますか?
          • by Anonymous Coward on 2011年06月15日 21時41分 (#1970942)
            URLに秘密情報が含まれるという違いがある。
            親コメント
            • URLにパスワードや暗証とかセッションとかそういう情報を載せるのは御法度だと認識しています。
              でも口座番号は秘密情報なのかな?
              フォームを見れば口座番号のフォーマットはわかります。
              企業のウェブサイトには普通に取引口座の番号が書いてありますよ。
              口座番号をURLに載せないことによりセキュリティ上の何が担保されるんでしょう?
              親コメント
              • Re:あまりにもお粗末 (スコア:3, すばらしい洞察)

                by rin_penguin (9144) on 2011年06月15日 22時55分 (#1970976)

                一般論としては、口座番号そのものはもちろん秘密情報ではないでしょう。口座番号だけ
                分かっていても、出来るのは「その口座に振り込むこと」くらいですし。
                問題は「口座番号が分かれば個人情報やクレジットカード情報にアクセスできる」システムを
                作ってしまったことなわけで。

                親コメント
              • by Anonymous Coward

                >一般論としては、口座番号そのものはもちろん秘密情報ではないでしょう。

                口座が分かれば差し押さえもできますし、ひろゆき氏 [wikipedia.org]みたいなケースではとっても大事な秘密情報じゃないでしょうか?

              • by rin_penguin (9144) on 2011年06月16日 13時00分 (#1971277)

                いや、令状に基づく法の執行たる差押えと同列に語られても……

                親コメント

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...