パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Hotmailと.NET Passportにアカウント乗っ取りの大穴」記事へのコメント

  • これって想像してみたんですけれど、

    httpsであるにもかかわらずセッションのチェックもせず、
    GETメソッドのパラメータも無効にせず、
    https://register.passport.net/emailpwdreset.srf という
    リマインダー機能を持ったサーバアプリケーションが稼動してしまう設定になっていた、
    ってことじゃないんでしょうか?

    「技術的に何が問題だったのか」が詳しく説明されていないのですが、
    これは本当に「脆弱性」だったのでしょうか?
    それとも単純な「設定ミス」ではないんでしょうか?
    --
    COBOLerが作ったJavaアプリを引き継いで鬱になりまくり。・゚・(ノД`)・゚・。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...