アカウント名:
パスワード:
と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。
何か違う?
番号の偽装ができないガラケーからしかアクセスされないという前提では、番号を変えることができないから誰かになりすませない、ということです。今回はその前提が崩れたため、こういう事態になりました。
「高木浩光 かんたんアクセス」でググるといっぱい出てきますが、過去にも、その前提が成り立たない使われ方をしていたこともあります。それ以前に、キャリアのIPアドレス帯域を、キャリア自身が「本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません」のような免責事項を設定していたり、HTTPSではなくHTTPで情報提供をしていたりで、高木先生によると、危険とのことです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
ヤマトだけ? (スコア:2, すばらしい洞察)
Re: (スコア:0)
と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。
何か違う?
Re:ヤマトだけ? (スコア:1)
番号の偽装ができないガラケーからしかアクセスされないという前提では、番号を変えることができないから誰かになりすませない、ということです。
今回はその前提が崩れたため、こういう事態になりました。
「高木浩光 かんたんアクセス」でググるといっぱい出てきますが、過去にも、その前提が成り立たない使われ方をしていたこともあります。
それ以前に、キャリアのIPアドレス帯域を、キャリア自身が「本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません」のような免責事項を設定していたり、HTTPSではなくHTTPで情報提供をしていたりで、高木先生によると、危険とのことです。
1を聞いて0を知れ!