アカウント名:
パスワード:
by フィリップ・マーロウ
この場合、FACTAはサイバー脆弱性の「調査」をされても文句は言わないんですよね?
不正アクセスにならない範囲でちょっと叩いてみた。
$ w3m -dump_head http://facta.co.jp/ [facta.co.jp]HTTP/1.1 200 OKDate: Fri, 28 Nov 2014 11:36:02 GMTServer: ApacheX-Powered-By: PHP/5.1.6Connection: closeContent-Type: text/html; charset=none
うーん、PHP 5.1.6。RHEL5かな?ちゃんと最新RPMに入れかえてるならいいんだけど。AddDefaultCharset none というクソ設定はやめましょう。
$ dig facta.co.jp ns +shortleo.qnote.co.jp.libra.facta.co.jp.pisces.qnote.co.jp.virgo.qnote.co.jp.$ dig @virgo.qnote.co.jp ch txt version.bind +short"9.7.0-P1"
bind9.7 は脆弱性の塊ですね。とっくの昔にディスコンになってて、穴が見つかってももはやアナウンスすらされませんhttps://kb.isc.org/article/AA-00913/0/BIND-9-Security-Vulnerability-Ma... [isc.org]
$ dig facta.co.jp mx +short10 mail.facta.co.jp.$ telnet mail.facta.co.jp smtpTrying 49.212.20.132...Connected to mail.facta.co.jp.Escape character is '^]'.220 leo.qnote.co.jp ESMTPehlo hoge250-leo.qnote.co.jp250-STARTTLS250-PIPELINING250-8BITMIME250-SIZE 10000000250 AUTH LOGIN PLAIN CRAM-MD5quit221 leo.qnote.co.jpConnection closed by foreign host.
メールサーバはTLSに対応してるようですね。この応答はqmail+TLSパッチに見えますがちょっと自身なし。
$ openssl s_client -connect mail.facta.co.jp:25 -starttls smtp...verify error:num=18:self signed certificate...verify error:num=10:certificate has expirednotAfter=Mar 13 13:46:45 2012 GMT
期限切れの自己署名証明書…。
俗に言う「はにーとらっぷ」というやつじゃないですか?これを知ってつついてくる奴に、倍返しするとか。
一つ言えるのは、「FACTAは脆弱さを放置する会社だ」と大声で言っていいってこと。
そうするとFACTAの行為を認めることになりますよ。
相手が悪いことをしているんだから、俺も悪いことをしていい。というわけではないでしょう。
粛々と理を説くことが必要ではないですかね。
もうポットとトラップネタは飽きた。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
撃っていいのは撃たれる覚悟のある奴だけだ (スコア:1)
by フィリップ・マーロウ
この場合、FACTAはサイバー脆弱性の「調査」をされても文句は言わないんですよね?
Re:撃っていいのは撃たれる覚悟のある奴だけだ (スコア:5, 興味深い)
不正アクセスにならない範囲でちょっと叩いてみた。
$ w3m -dump_head http://facta.co.jp/ [facta.co.jp]
HTTP/1.1 200 OK
Date: Fri, 28 Nov 2014 11:36:02 GMT
Server: Apache
X-Powered-By: PHP/5.1.6
Connection: close
Content-Type: text/html; charset=none
うーん、PHP 5.1.6。RHEL5かな?
ちゃんと最新RPMに入れかえてるならいいんだけど。
AddDefaultCharset none というクソ設定はやめましょう。
$ dig facta.co.jp ns +short
leo.qnote.co.jp.
libra.facta.co.jp.
pisces.qnote.co.jp.
virgo.qnote.co.jp.
$ dig @virgo.qnote.co.jp ch txt version.bind +short
"9.7.0-P1"
bind9.7 は脆弱性の塊ですね。
とっくの昔にディスコンになってて、
穴が見つかってももはやアナウンスすらされません
https://kb.isc.org/article/AA-00913/0/BIND-9-Security-Vulnerability-Ma... [isc.org]
$ dig facta.co.jp mx +short
10 mail.facta.co.jp.
$ telnet mail.facta.co.jp smtp
Trying 49.212.20.132...
Connected to mail.facta.co.jp.
Escape character is '^]'.
220 leo.qnote.co.jp ESMTP
ehlo hoge
250-leo.qnote.co.jp
250-STARTTLS
250-PIPELINING
250-8BITMIME
250-SIZE 10000000
250 AUTH LOGIN PLAIN CRAM-MD5
quit
221 leo.qnote.co.jp
Connection closed by foreign host.
メールサーバはTLSに対応してるようですね。
この応答はqmail+TLSパッチに見えますがちょっと自身なし。
$ openssl s_client -connect mail.facta.co.jp:25 -starttls smtp
...
verify error:num=18:self signed certificate
...
verify error:num=10:certificate has expired
notAfter=Mar 13 13:46:45 2012 GMT
期限切れの自己署名証明書…。
Re: (スコア:0)
俗に言う「はにーとらっぷ」というやつじゃないですか?
これを知ってつついてくる奴に、倍返しするとか。
Re:撃っていいのは撃たれる覚悟のある奴だけだ (スコア:1)
一つ言えるのは、「FACTAは脆弱さを放置する会社だ」と大声で言っていいってこと。
Re:撃っていいのは撃たれる覚悟のある奴だけだ (スコア:1)
そうするとFACTAの行為を認めることになりますよ。
相手が悪いことをしているんだから、俺も悪いことをしていい。というわけではないでしょう。
粛々と理を説くことが必要ではないですかね。
Re: (スコア:0)
もうポットとトラップネタは飽きた。