アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
この穴・・・ヤバいですね (スコア:3, 興味深い)
>任意のコードを実行できる
ってのとはちょっと違いますね、危機レベルが。
任意のコードを実行できる穴というものは、
結局それなりにコンピューターのことが分かってないと
「悪用」する「方法」を思いつかないわけです。
どのようなプログラムコードを走らせればいいか分からないレベルの
人間(私のような)には悪用は出来ないわけです。
でも、
>具体的には特定のURLを開くことにより、被害者のアカウントのパスワードを
>再設定するためのURLが攻撃者の指定する任意のメールアドレスに送られてしまう
なんていうのは、「特
Re:この穴・・・ヤバいですね (スコア:0)
ってゆうか、削除する以前に登録してあること自体、ヤバイと思います。
管理意識、低すぎませんか?
Re:この穴・・・ヤバいですね (スコア:1, すばらしい洞察)
Passportってのは本来そういう使い方をするものです。
カード番号やオンラインバンキングのパスワードなども含む
あらゆる個人情報(それもとびきり濃いやつ)を集中管理することで
管理の手間を減らし、情報の出入りを監視しやすくすることで
安全性を高めるのがその役割です。
ですから通常のアプリケーションよりはるかに堅牢なセキュリティが求められますし、
MSはそれを達成していると公言してきたわけです。
単に捨てアドのパスが漏れますよー、というレベルの事件ではないのですよこれは。
#まあMSの言うことを信じること自体管理意識の欠如だ、というのは同意できるけど
#Passport使わないと利用できないサービスもいっぱいあるんだよ