アカウント名:
パスワード:
「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」
開発元の中の人はアホですか・・・?どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。わかってないんだろうな。
そういえば某所で
・HTMLソースに <input type="hidden" name="password" value="password"> みたいな感じでパスワードを含めていたり・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、管理者としてユーザ管理画面を表示できちゃったり
なんてのも見たことあったなあ。ま、10年くらい昔の話ですが。
さすがに今はもう、そんな牧歌的なセキュリティ意識で開発/運用してる会社なんかないでしょうけどね。
# 無いと信じたい信じたい信じたい
話題のWEBインベンターさんのところにはサンプルがあって、管理機能とか一通り試せるんですが、会員管理でユーザ一覧を表示してユーザのリンクにフォーカスを合わせてURLを見ると
(略)/member.cgi?entry_no=22&ID_NAME=zzzza&PASS_W=zzzza&mode=renew1
( ゚д゚) ・・・
(つд⊂)ゴシゴシ
や、管理者にユーザのパスワードがバレバレってのが不味いと思うんですよ。それ以前に平文でパスワードを保持してるのも駄目すぎるし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
GETとか関係ねぇ (スコア:2, 興味深い)
開発元の中の人はアホですか・・・?
どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。
わかってないんだろうな。
屍体メモ [windy.cx]
Re: (スコア:0)
そういえば某所で
・HTMLソースに <input type="hidden" name="password" value="password"> みたいな感じでパスワードを含めていたり
・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、管理者としてユーザ管理画面を表示できちゃったり
なんてのも見たことあったなあ。
ま、10年くらい昔の話ですが。
さすがに今はもう、そんな牧歌的なセキュリティ意識で開発/運用してる会社なんかないでしょうけどね。
# 無いと信じたい信じたい信じたい
Re:GETとか関係ねぇ (スコア:1, 興味深い)
話題のWEBインベンターさんのところにはサンプルがあって、管理機能とか一通り試せるんですが、会員管理でユーザ一覧を表示してユーザのリンクにフォーカスを合わせてURLを見ると
(略)/member.cgi?entry_no=22&ID_NAME=zzzza&PASS_W=zzzza&mode=renew1
( ゚д゚) ・・・
(つд⊂)ゴシゴシ
Re: (スコア:0)
Re: (スコア:0)
や、管理者にユーザのパスワードがバレバレってのが不味いと思うんですよ。
それ以前に平文でパスワードを保持してるのも駄目すぎるし。