パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険」記事へのコメント

  • 非公開URLもPWも知らなきゃ入れないんだから同じだろという理屈はわかるがなんかもにょるな。

    • by Anonymous Coward

      総当たり攻撃の容易さが違う。

      • by Anonymous Coward

        そんなものURLの長さ次第じゃね。試行の繰り返しを検出してブロックしてもいいし、普通の総当たり攻撃と変わらんだろ。

        • by Anonymous Coward

          >試行の繰り返しを検出してブロックしてもいいし

          普通のユーザアクセスとどうやって区別すんの?
          1回ページ表示するだけで、ページ内コンテンツの数だけアクセス回数が発生すると思うけど。
          「1分以内に100回アクセスがあったら」とかいう条件にするの?
          なら1IPアドレスで100回までは簡単に試せるね。

          パスワード認証だったら、同一アカウントで3回パスワード間違えたら1分ロックってするだけで済むけど。

          • by Anonymous Coward

            そこはパスワードでの認証でも同じじゃない?

            仮に、/internal/で始まるパスは非公開情報があるとして、「/internal/配下へのアクセスに対して1分以内に100回アクセスがあったら」みたいな条件にする。あるいは「/internal/配下のアクセスに対しての要パスワード(Basic認証でもフォームログインでも)」にする。いずれでもそれ以外(/index.htmlなど)は制限なくアクセス可能にする。

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...