アカウント名:
パスワード:
たしかにACCSはもう少し注意することができたかもしれない。だけどね、officeがアクセスしなければ漏洩は始めから存在しないのだよ。
不正にアクセスしなけりゃいいんじゃないのか?
ガチガチにセキュリティをかけるには何百万円もかかる。そんなの小さい団体に出せるわけがないじゃないか。もっと現実を見てほしい。
ファイル名を指定しただけでダウンロードできてしまうような超初歩的な欠陥に気付かなかったようなところが、自分で不正コピーに気付けるのですか?
直近の情報がすべて記録されているファイルが存在することはないと認識しておりましたが、フォルダ内を調べたところ該当するファイルを確認し
とかいう、全く何も気を遣っていなかったような人たちが、自分で不正コピーに気
専用のツールを作るしかないとしたらちょっとやそっとでマネする人はなかなかいなかったんじゃぁないかな。
そんなもん、ツールなんていらない。ブラウザすらいらない。telnet するだけ。
telnet www.example.com 80 ... POST /cgi-bin/foo.cgi Referer: http://www.example.com/foo.html filename=/usr/data/foo.csv
セーブし、エディタで修正し、そこからPOSTしたわけです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
盗む奴がいなければ問題は起きない。 (スコア:-1, フレームのもと)
たしかにACCSはもう少し注意することができたかもしれない。だけどね、officeがアクセスしなければ漏洩は始めから存在しないのだよ。
不正にアクセスしなけりゃいいんじゃないのか?
ガチガチにセキュリティをかけるには何百万円もかかる。そんなの小さい団体に出せるわけがないじゃないか。もっと現実を見てほしい。
Re:盗む奴がいなければ問題は起きない。 (スコア:0)
ファイル名を指定しただけでダウンロードできてしまうような超初歩的な欠陥に気付かなかったようなところが、自分で不正コピーに気付けるのですか?
とかいう、全く何も気を遣っていなかったような人たちが、自分で不正コピーに気
Re:盗む奴がいなければ問題は起きない。 (スコア:0)
実際にはそんな簡単な欠陥ではないのですが、そういうことにしておきたい人が山のようにいますねぇ(w
Re:盗む奴がいなければ問題は起きない。 (スコア:0)
実際にそんな簡単な欠陥でしたよ。
エステやらとの違いは、ファイル名を指定する場所がヘッダじゃなくてボディだったというだけ。
まあ、あんたにはヘッダとかボディつーても意味がわからんのだろうけどな。意味わからんやつがしゃべることは総じて罪。
Re:盗む奴がいなければ問題は起きない。 (スコア:0)
w
なんだ、わけもわからずに書いてるだけか。
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
エステの流出は GET でパラメータを送って取ったけど、この場合は POST のパラメータを送って取った。
それだけの違いしかないですよ。
httpのGETメソッドのリクエストは
GET /directory/file HTTP/1.0
(空行)
で、POSTメソッドのリクエストは
POST /directory/file HTTP/1.0
Content
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
・たいていの CGI は、POST でも GET でも同じ引数を指定すれば、同じ動作をします。
ですから、POST か GET かというのは本質的には違いはありません。
Re:盗む奴がいなければ問題はバレない。 (スコア:1, すばらしい洞察)
ですから、POST か GET かというのは本質的には違いはありません。
のような事を平気で言うヤツが作るCGIスクリプト/プログラムが危ないのだよね、実際。リクエストメソッド(やリクエストヘッダ)をチェックしないで処理してる、って事じゃない、それはさ。
Re:盗む奴がいなければ問題はバレない。 (スコア:0)
メソッドをPOSTにさえしておけば十分に堅牢になったとでも?
このケースでは堅牢さにおいては全く変わりないですよ。
無論、メソッドをPOSTだけにしておきたいならそのほうが良いですが。
(ところで、ACCSのくだんのCGIはoffice氏の登攀ルートではPOSTしか許してはいませんでした。別ルートがあってGETで可能であったかもしれなかったけれども調べてはいないとoffice氏が言っていたことを思い出しました。)
さて、office氏は、くだんのCGIがブラウザに吐いたHTMLをローカルに
セーブし、エディタで修正し、そこからPOSTしたわけです。GETでよければoffice氏はそんなことはしませんでした。
ではローカルに落とせないようにリファを調べて検査すれば堅牢になるかって?だめだめです。そんなことをしても堅牢にならないことはスラドの住人なら知っていることでしょう。
結局、そのCGIがHTTPを通じて任意のファイル名を許容してその内容を表示するところに非があるのであって、POSTとかGETとかの堅牢談義に埋没すると本質を見失います。
(そういえばどこかで読んだんだけど、リファをチェックされたときにどうやったら登攀できるのかという方法。専用のツールを作るしかないとしたらちょっとやそっとでマネする人はなかなかいなかったんじゃぁないかな。専用のツールをつくるまでもないと書いてあったような気がするけど今ぐぐると出てこない)
--
ビビリなのでAC
Re:盗む奴がいなければ問題はバレない。 (スコア:0)
そんなもん、ツールなんていらない。ブラウザすらいらない。telnet するだけ。
telnet www.example.com 80
...
POST /cgi-bin/foo.cgi
Referer: http://www.example.com/foo.html
filename=/usr/data/foo.csv
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
>Referer: http://www.example.com/foo.html
>
>filename=/usr/data/foo.csv
うーん。Content-lengthとエンティティボディの実際の長さ位はチェックしないかしら。最近はそういう面倒臭いチェックとかは、しないものなのかしらん。
>それがわかってない奴は、お願いだから、セキュリティが
>求められる仕事にたずさわらないでくれ。
これは同感。尻拭いが大変でねえ。首にすれば簡単なんだけど、そうは行かない場合もあって。