アカウント名:
パスワード:
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明 https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ [nikkeibp.co.jp]
が分かりやすいです。
ただし、上記記事は、全く異なる2つの脆弱性の話が書かれているので、混同しないようにご注意ください。
【脆弱1 : OpenID Connectのアクセストークン未検証】
OpenID Connectのアクセストークンを検証していなかったので、ID(メールアドレス等)さえわかれば、パスワードが分からなくても、OAuthが成功したことにして他人がログインできる脆弱性があった。あまりにも酷すぎる脆弱性ですね!
【脆弱性2 : 7iD の API のアクセ
社長が「二段階認証」という単語を知らなかったことについて謎の擁護の流れができているようなんだがそういうのは一事が万事なんだよな
社長が仕様を提示したんですかねぇ・・・
二段階認証はあくまでも基本設計レベルの話なんで、二段階認証に対応しててもOpenID Connectの大穴みたいにガバガバに実装だと何の意味もないし。
要するに2018年末にSIerとベンダー交替して7ヶ月の突貫工事でオンボロシステムで大事故、大損害、と言う経営層の誰かクビが飛ぶか首吊り自殺しても全然おかしくないレベル
社長だって知っててもおかしくない、バカにされても仕方ないレベルかもしれんが、どっちかと言えばあそこにそういう事について受け答えできる人が用意されてないのが悪い。コレをネタに社長をバカにすることと技術的な問題や社内体制の問題をアレコレ言い合うのとは別の問題だよ。社長が技術的につよつよだったところで社内体制がダメだったら同じ事が起きるんだから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
パスワードなしで他人のアカウントにログインできた (スコア:5, 参考になる)
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ [nikkeibp.co.jp]
が分かりやすいです。
ただし、上記記事は、全く異なる2つの脆弱性の話が書かれているので、混同しないようにご注意ください。
【脆弱1 : OpenID Connectのアクセストークン未検証】
OpenID Connectのアクセストークンを検証していなかったので、ID(メールアドレス等)さえわかれば、
パスワードが分からなくても、OAuthが成功したことにして他人がログインできる脆弱性があった。
あまりにも酷すぎる脆弱性ですね!
【脆弱性2 : 7iD の API のアクセ
Re:パスワードなしで他人のアカウントにログインできた (スコア:0)
社長が「二段階認証」という単語を知らなかったことについて謎の擁護の流れができているようなんだがそういうのは一事が万事なんだよな
Re: (スコア:0)
社長が仕様を提示したんですかねぇ・・・
Re: (スコア:0)
二段階認証はあくまでも基本設計レベルの話なんで、二段階認証に対応しててもOpenID Connectの大穴みたいにガバガバに実装だと何の意味もないし。
要するに2018年末にSIerとベンダー交替して7ヶ月の突貫工事でオンボロシステムで大事故、大損害、と言う経営層の誰かクビが飛ぶか首吊り自殺しても全然おかしくないレベル
Re: (スコア:0)
社長だって知っててもおかしくない、バカにされても仕方ないレベルかもしれんが、どっちかと言えばあそこにそういう事について受け答えできる人が用意されてないのが悪い。
コレをネタに社長をバカにすることと技術的な問題や社内体制の問題をアレコレ言い合うのとは別の問題だよ。
社長が技術的につよつよだったところで社内体制がダメだったら同じ事が起きるんだから。