アカウント名:
パスワード:
>管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもの
これが本当なら、なんの目的でこんな作りにしたんだろう。「ソース画面」ってHTMLのソースって意味でいいんだよね?コメントにして画面では非表示にしてたってことなのかな。正直目的がさっぱりわからない。忘れたユーザーに復号して教えてあげるため?それにしてもちゃんとした暗号化すればよかったのに・・・
自分はいつもハッシュ化したものをDBに保存するけど、それを表示するページは作ったことないな。
人為的ミスでしょう。実際に見たとかじゃないので単なる予想ですが、DBがやたらアクセス制限しているせいで、DBの中身を見るためにクライアントを繋げることが困難(sshでトンネル張ればできるんだけど面倒)とかで、仕方ないのでクエリの結果をソースに書き込んで、ユーザー作成時にテーブルの中身が正常に更新されることを確認してた、とか。それで戻すの忘れ、テストでもソースまで見ないし誰も気づかないままリリースされて発覚に至る、的な。そんなとこでしょう。全ユーザーのユーザー名・パスワードがが含まれたっていうのはたまたまで同じページをデバッグ的な感じで使い回していたんじゃないかな、と予想。
タレコミ人(#3635021) [srad.jp]が貼ってたのに消されたリンク [note.mu]の内容からすると、漏れるユーザはアクセスしたページに関連するユーザで、予測可能なURLだった管理画面からは全ユーザの情報が漏れていたっぽい。
ページ内スクリプトで必要なデータをページアクセスのリクエスト時にクエリして、結果を埋め込んでたんじゃ無いですかね。で、アクセス先ページで必要なユーザだけをユーザ情報テーブルから抽出するクエリは書いたけど、取得するカラム無制限にしてたとかでメールアドレスからパスまで全部ダンプされたと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
目的はなんだろう (スコア:0)
>管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもの
これが本当なら、なんの目的でこんな作りにしたんだろう。
「ソース画面」ってHTMLのソースって意味でいいんだよね?コメントにして画面では非表示にしてたってことなのかな。
正直目的がさっぱりわからない。忘れたユーザーに復号して教えてあげるため?それにしてもちゃんとした暗号化すればよかったのに・・・
自分はいつもハッシュ化したものをDBに保存するけど、それを表示するページは作ったことないな。
Re: (スコア:2)
人為的ミスでしょう。実際に見たとかじゃないので単なる予想ですが、
DBがやたらアクセス制限しているせいで、DBの中身を見るためにクライアントを繋げることが困難(sshでトンネル張ればできるんだけど面倒)とかで、仕方ないのでクエリの結果をソースに書き込んで、ユーザー作成時にテーブルの中身が正常に更新されることを確認してた、とか。それで戻すの忘れ、テストでもソースまで見ないし誰も気づかないままリリースされて発覚に至る、的な。そんなとこでしょう。全ユーザーのユーザー名・パスワードがが含まれたっていうのはたまたまで同じページをデバッグ的な感じで使い回していたんじゃないかな、と予想。
Re:目的はなんだろう (スコア:0)
タレコミ人(#3635021) [srad.jp]が貼ってたのに消されたリンク [note.mu]の内容からすると、
漏れるユーザはアクセスしたページに関連するユーザで、
予測可能なURLだった管理画面からは全ユーザの情報が漏れていたっぽい。
ページ内スクリプトで必要なデータをページアクセスのリクエスト時にクエリして、
結果を埋め込んでたんじゃ無いですかね。
で、アクセス先ページで必要なユーザだけをユーザ情報テーブルから抽出するクエリは書いたけど、
取得するカラム無制限にしてたとかでメールアドレスからパスまで全部ダンプされたと。