アカウント名:
パスワード:
「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」
開発元の中の人はアホですか・・・?どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。わかってないんだろうな。
あまり理解してないので、誤解があったら指摘していただきたいのですが。
google AnalyticsやリファラなどでIDやパスワード情報をURLに含んで渡っていた事が管理画面までクロールされてしまう原因となったので、とりあえずURLにIDやパスワードを含まないようにするというのは、対策の一つとして必要なのでは?
勿論、そもそも不特定多数がアクセス出来るような場所に管理画面を置いておくんじゃないよ!とか。ボットにクロールされるようにしとくな!とか、色々あるとは思いますけど。
サーバはお客さんの自主管理で、汎用的なネットショップスクリプトみたいなものを売るとしたら、意外と厄介だと思うんですけどね。
パスワードを平文で送受信してた所もお忘れなく。
ブログやTwitterの改ざん/なりすましより、エロゲやエロビデオの購買履歴漏洩の方が、社会的仕事的精神的恋人的ダメージの大きさは計り知れないものがある気がします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
GETとか関係ねぇ (スコア:2, 興味深い)
開発元の中の人はアホですか・・・?
どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。
わかってないんだろうな。
屍体メモ [windy.cx]
Re: (スコア:1, 興味深い)
あまり理解してないので、誤解があったら指摘していただきたいのですが。
google AnalyticsやリファラなどでIDやパスワード情報をURLに含んで渡っていた事が
管理画面までクロールされてしまう原因となったので、とりあえずURLにIDやパスワー
ドを含まないようにするというのは、対策の一つとして必要なのでは?
勿論、そもそも不特定多数がアクセス出来るような場所に管理画面を置いておくんじゃ
ないよ!とか。ボットにクロールされるようにしとくな!とか、色々あるとは思いますけど。
サーバはお客さんの自主管理で、汎用的なネットショップスクリプトみたいなものを
売るとしたら、意外と厄介だと思うんですけどね。
Re: (スコア:2)
パスワードを平文で送受信してた所もお忘れなく。
Re:GETとか関係ねぇ (スコア:2)
ブログやTwitterの改ざん/なりすましより、エロゲやエロビデオの購買履歴漏洩の方が、
社会的仕事的精神的恋人的ダメージの大きさは計り知れないものがある気がします。