パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoft Edge Canary、自動HTTPSオプションのテストを開始」記事へのコメント

  • by Anonymous Coward

    自分の職場では「大規模災害時に安否を確認するシステム」があるのですが、デフォルトのURLがhttpで、しかもそこでログイン出来るという恐ろしい仕様なんです。
    実はhttpsも用意してあるのですが、古くからある仕組みのためか、メールで送られてくるデフォルトページがhttpという。こういう場合は効果抜群かもしれません。

    詳しい製品名は伏せますが、導入実績1000社以上の有名な安否確認ツールです。下っ端なので上に進言できない・・・

    • by Anonymous Coward on 2021年05月06日 5時26分 (#4025452)

      (中間者攻撃で安否を詐称したい場合を除く)
      そのログインIDが独自管理の連番的な奴だったら問題ない気がする

      親コメント
      • by Anonymous Coward

        職員ID(各種書類でも使う)をログインに使っています。
        また、そのサイトのプロフィールページから、本名・メールアドレス・所属部署まで見ようと思えば全部見られちゃいますね。脆弱性の塊です。

        • by Anonymous Coward

          説明ありがとう。

          前者は問題ですね。あまり外だししたくないIDを盗聴できちゃう(パスワードは安否の詐称しかできないなら私は別にOK)
          後者はシステムは安否確認情報の配信・集約だけすると思ってたんですが、そのほかの諸々も管理できるシステムなんでしょうか。諸々を盗聴できるの最悪ですね。

          • by Anonymous Coward

            別ACです。もろもろのデータがあるのは恐らく

            住所:大規模災害が発生した地域に住んでいるかどうかを自動判定するため
            所属部署:部門ごとの安否状態を把握するため(実運用では報告が遅くカイゼンが必要な部署を把握するため)

            ですかね。そして、それらを見れるのは、安否確認システムの運用を開始しました/システムに登録しました。登録情報が正しいか確認してください ってやつのためですかね。

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...