アカウント名:
パスワード:
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明 https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ [nikkeibp.co.jp]
が分かりやすいです。
ただし、上記記事は、全く異なる2つの脆弱性の話が書かれているので、混同しないようにご注意ください。
【脆弱1 : OpenID Connectのアクセストークン未検証】
OpenID Connectのアクセストークンを検証していなかったので、ID(メールアドレス等)さえわかれば、パスワードが分からなくても、OAuthが成功したことにして他人がログインできる脆弱性があった。あまりにも酷すぎる脆弱性ですね!
【脆弱性2 : 7iD の API のアクセ
社長が「二段階認証」という単語を知らなかったことについて謎の擁護の流れができているようなんだがそういうのは一事が万事なんだよな
社長だって知っててもおかしくない、バカにされても仕方ないレベルかもしれんが、どっちかと言えばあそこにそういう事について受け答えできる人が用意されてないのが悪い。コレをネタに社長をバカにすることと技術的な問題や社内体制の問題をアレコレ言い合うのとは別の問題だよ。社長が技術的につよつよだったところで社内体制がダメだったら同じ事が起きるんだから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
パスワードなしで他人のアカウントにログインできた (スコア:5, 参考になる)
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ [nikkeibp.co.jp]
が分かりやすいです。
ただし、上記記事は、全く異なる2つの脆弱性の話が書かれているので、混同しないようにご注意ください。
【脆弱1 : OpenID Connectのアクセストークン未検証】
OpenID Connectのアクセストークンを検証していなかったので、ID(メールアドレス等)さえわかれば、
パスワードが分からなくても、OAuthが成功したことにして他人がログインできる脆弱性があった。
あまりにも酷すぎる脆弱性ですね!
【脆弱性2 : 7iD の API のアクセ
Re: (スコア:0)
社長が「二段階認証」という単語を知らなかったことについて謎の擁護の流れができているようなんだがそういうのは一事が万事なんだよな
Re:パスワードなしで他人のアカウントにログインできた (スコア:0)
社長だって知っててもおかしくない、バカにされても仕方ないレベルかもしれんが、どっちかと言えばあそこにそういう事について受け答えできる人が用意されてないのが悪い。
コレをネタに社長をバカにすることと技術的な問題や社内体制の問題をアレコレ言い合うのとは別の問題だよ。
社長が技術的につよつよだったところで社内体制がダメだったら同じ事が起きるんだから。