アカウント名:
パスワード:
自分の職場では「大規模災害時に安否を確認するシステム」があるのですが、デフォルトのURLがhttpで、しかもそこでログイン出来るという恐ろしい仕様なんです。実はhttpsも用意してあるのですが、古くからある仕組みのためか、メールで送られてくるデフォルトページがhttpという。こういう場合は効果抜群かもしれません。
詳しい製品名は伏せますが、導入実績1000社以上の有名な安否確認ツールです。下っ端なので上に進言できない・・・
(中間者攻撃で安否を詐称したい場合を除く)そのログインIDが独自管理の連番的な奴だったら問題ない気がする
職員ID(各種書類でも使う)をログインに使っています。また、そのサイトのプロフィールページから、本名・メールアドレス・所属部署まで見ようと思えば全部見られちゃいますね。脆弱性の塊です。
説明ありがとう。
前者は問題ですね。あまり外だししたくないIDを盗聴できちゃう(パスワードは安否の詐称しかできないなら私は別にOK)後者はシステムは安否確認情報の配信・集約だけすると思ってたんですが、そのほかの諸々も管理できるシステムなんでしょうか。諸々を盗聴できるの最悪ですね。
別ACです。もろもろのデータがあるのは恐らく
住所:大規模災害が発生した地域に住んでいるかどうかを自動判定するため所属部署:部門ごとの安否状態を把握するため(実運用では報告が遅くカイゼンが必要な部署を把握するため)
ですかね。そして、それらを見れるのは、安否確認システムの運用を開始しました/システムに登録しました。登録情報が正しいか確認してください ってやつのためですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
効果のある場合も (スコア:1)
自分の職場では「大規模災害時に安否を確認するシステム」があるのですが、デフォルトのURLがhttpで、しかもそこでログイン出来るという恐ろしい仕様なんです。
実はhttpsも用意してあるのですが、古くからある仕組みのためか、メールで送られてくるデフォルトページがhttpという。こういう場合は効果抜群かもしれません。
詳しい製品名は伏せますが、導入実績1000社以上の有名な安否確認ツールです。下っ端なので上に進言できない・・・
Re: (スコア:0)
(中間者攻撃で安否を詐称したい場合を除く)
そのログインIDが独自管理の連番的な奴だったら問題ない気がする
Re: (スコア:0)
職員ID(各種書類でも使う)をログインに使っています。
また、そのサイトのプロフィールページから、本名・メールアドレス・所属部署まで見ようと思えば全部見られちゃいますね。脆弱性の塊です。
Re:効果のある場合も (スコア:0)
説明ありがとう。
前者は問題ですね。あまり外だししたくないIDを盗聴できちゃう(パスワードは安否の詐称しかできないなら私は別にOK)
後者はシステムは安否確認情報の配信・集約だけすると思ってたんですが、そのほかの諸々も管理できるシステムなんでしょうか。諸々を盗聴できるの最悪ですね。
Re: (スコア:0)
別ACです。もろもろのデータがあるのは恐らく
住所:大規模災害が発生した地域に住んでいるかどうかを自動判定するため
所属部署:部門ごとの安否状態を把握するため(実運用では報告が遅くカイゼンが必要な部署を把握するため)
ですかね。そして、それらを見れるのは、安否確認システムの運用を開始しました/システムに登録しました。登録情報が正しいか確認してください ってやつのためですかね。