アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
エンジニアの質が低すぎるのでは (スコア:3, 興味深い)
楽天日記の場合、タグのサニタイジングは要素名で判断、Javascript対策は全文検索をかけて半角文字でdocumentのような javascriptで使われる文字列が見つかると危険と判断しているようです。ユーザーも困っているようで苦情書き込みも見つけました。半年前まで興味深く見守り何度か間接的に注意を投げましたがこんな状況です。
楽天日記はログインしたままでユーザー間の日記を往復しているユーザーが多く、また奪ったアカウントは買い物や個人情報のアクセスにも使えるためセッションを奪え
エンジニアは一般職? (スコア:1, 興味深い)
毎日就職ナビにセッション乗っ取りの脆弱性があります。
一応、指摘したんだけど。対策されないままです。
説明会の予約、試験の予約を取り消せたり、
個人情報を変更できちゃったり。
他、ショッピングサイトによくある脆弱性も減らないねぇ。
『https://hoghoge/product_list.cgi?cid=c001』
こんな感じのURLでGET引数を偽装する事でSQL叩けるって現状
query = "SELECT id, name FROM product WHERE category_id='" + cid + "'";
こんな事やっているだけだから、
cid=c001'; DELETE FROM product WHERE id='%
のようにcidを偽装すれば商品情報全部吹っ飛ぶぞ。
# 参照制約ついていたら、ある程度ガードされるけど。
アクセス権限もきちんとしておらず、ビューも使わない。
こんなんでいいのか日本のエンジニア!
Re:エンジニアは一般職? (スコア:1, 興味深い)
そのときは、入ってきた値の、たとえば「'」を「\'」に変換するというような事をやっていたのですが…
設計者が「そんなことやらないでください」とか言って、削除してしまいました…
「その値はリストボックスですから、チェックする必要はないですよね?」とかって言われて。
いえ、危ないって証拠をつきつけても、「そんなことをやる人はいません」ってつっぱねられまして…。
# ついでにそこ、GETでした
必ずしも、現場のプログラマが悪い場合だけではないということを、理解しておいていただけると嬉しいのです。
# なぜ、そこまで抵抗したかというと、ほんの少しでも高速化したかったそうな…
# そのわりには、サーバ増強に頑固に反対してたな。
Re:エンジニアは一般職? (スコア:2, おもしろおかしい)
似たような状況でいくら口で言っても理解しないので
そいつの眼前で実際にDBぶっ飛ばして証明したら怒られました。
# だったらやる前に止めろよ
Re:エンジニアは一般職? (スコア:2)
やっぱり想像力が足りない人は設計やっちゃいかんよ。
# と妄想力最大!
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:エンジニアは一般職? (スコア:1)
そこら辺の処理は暗黙のうちに要件と仕様に含まれていて削っちゃいけない処理だと思うのです
ちなみにPOSTでもGETでも削っちゃダメ
ユーザーが意図的に誤動作を引き起こせることには変わりないから
でも、まぁ 高速化したいけど サーバー増強に反対する気持ちはわからんでもないかな
サーバー増強はいろいろと面倒だし
Re:エンジニアは一般職? (スコア:0)
>そこら辺の処理は暗黙のうちに要件と仕様に含まれていて
要件は提案専門のプランナーが定めてまして、仕様…というか構造設計というかは、その技術者が定めておりました。
つまるは、「そういう仕様です」
高速化 (スコア:0)
# 1%も速くなるとは思えないのでAC
Re:高速化 (スコア:0)
ただアンケートやユーザー登録など項目が多くなればそれだけチェックコストも高くなるはずです。
しかし高速化を求めるなら他によりよい方法はいくらでもあると思います。ってゆーか誰のためのサービスで何を目的とした高速化なのか、担当者の発言はそれを見失っているように思えます。
Re:高速化 (スコア:0)
>それで、何割速くなりました?
># 1%も速くなるとは思えないのでAC
手元では測定不能なほど小さな時間でした。
ぇぇ。1%どころか0.01%ですらなく、測定不能なのです(泣
Re:高速化 (スコア:0)
ボトルネックはDBとの接続でしたので、全体の実行時間は測定できる程度には長かったのですが…ということで。
Re:エンジニアは一般職? (スコア:0)
そんな状況にしておく必然性が全く理解出来ないんだけど...。
> ビューも使わない。
ゴメンナサイ、金が無いのでMySQLです。
Re:エンジニアは一般職? (スコア:0)
WHERE id = '$id';
とかそうですね。
昔ボルチモアテクノロジーがやっちゃっていたと思います。セキュリティ製品売ってるのにねぇ。
m(__)m (スコア:0)
Re:毎日就職ナビ (スコア:0)
試して笑ったAC
Re:エンジニアは一般職? (スコア:0)
昔はリクエストに)を入れてるとOracleがエラー吐いてくれてました.