アカウント名:
パスワード:
会社のメールアドレスで、例えば「社員番号@会社のドメイン」なんていうのを割り当ててると、結構やばいよね。社屋に入ることができれば、社内の文書連絡システムと紙の申請書を使って、個人攻撃が簡単にできてしまう。外部に晒すアドレスは、人事関係のコードとは切り離した方が無難。
っていうか、毎朝タイムカード代わりに職員番号とパスワード(休暇申請年末調整その他で使うものと同一)をwebで入力させられてそのうちちょっと悪いこと考えるやつが出てきたらIDとパス盗み取られて勝手に有休取られたりするんじゃないかと。打ってる回数が多ければそれだけ危険性も増すわけで。
#そんなシステムを外注してるWの恐怖gesaku
どこぞの会社の、外部から接続可能なとあるwebサーバでは、会社のメールアドレスのuseridがそのままログインIDにつかわれてて、それはどうかと思っている次第ですよ…
ちなみにグループウェアやwebメールでは暗号化一切なし(生httpでやりとり)。だれだ、こんなザルな運用許してるやつは…ありえねぇよ…
# 会社に対していろいろ指摘してきたけど一向に改善されないのでIDで
なぜか社内システムには(共同申請者とか、そういう文脈で)他人のコードを入力させる(故に他人に教える必要を作る)ものがあるのだよなぁ。あれもちょっと怖い。給与振込先とか勝手に変えられちゃうし(パスワードは一応定期的に変更してるけど)。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
ちょっと話が変わるけど (スコア:0)
会社のメールアドレスで、例えば「社員番号@会社のドメイン」なんていうのを割り当ててると、結構やばいよね。
社屋に入ることができれば、社内の文書連絡システムと紙の申請書を使って、個人攻撃が簡単にできてしまう。
外部に晒すアドレスは、人事関係のコードとは切り離した方が無難。
Re:ちょっと話が変わるけど (スコア:1)
っていうか、毎朝タイムカード代わりに職員番号とパスワード(休暇申請年末調整その他で使うものと同一)をwebで入力させられて
そのうちちょっと悪いこと考えるやつが出てきたらIDとパス盗み取られて勝手に有休取られたりするんじゃないかと。
打ってる回数が多ければそれだけ危険性も増すわけで。
#そんなシステムを外注してるWの恐怖gesaku
Re:ちょっと話が変わるけど (スコア:1)
どこぞの会社の、外部から接続可能なとあるwebサーバでは、会社のメールアドレスの
useridがそのままログインIDにつかわれてて、それはどうかと思っている次第ですよ…
ちなみにグループウェアやwebメールでは暗号化一切なし(生httpでやりとり)。
だれだ、こんなザルな運用許してるやつは…ありえねぇよ…
# 会社に対していろいろ指摘してきたけど一向に改善されないのでIDで
Re: (スコア:0)
なぜか社内システムには(共同申請者とか、そういう文脈で)他人のコードを入力させる(故に他人に教える必要を作る)ものがあるのだよなぁ。
あれもちょっと怖い。給与振込先とか勝手に変えられちゃうし(パスワードは一応定期的に変更してるけど)。