アカウント名:
パスワード:
> リスト型攻撃では不正アクセスを受けないはずのユーザーも被害にあっている> リスト型攻撃とは別の大きな脆弱性が存在しているのではないか、と疑う声が出ている。
パスワードを誰でも変更できる脆弱性があったんじゃなかったっけ。パスワードを忘れた時のためのページに「新しいパスワードをこちらに送る」みたいなメールアドレス欄があって誰でも使えたっていう。違う?
「ID(メールアドレス)とパスワード」のリストが無くても、メールアドレスのリストだけで通る道理だよねぇ…
それどころか外部サービス提携機能に大穴があり、攻撃者が自称で認証成功ってデータ送りつけるとそれ信じて認証通しちゃうクソ穴があったっぽい。
論外級の大穴が二つ以上空いてるのが確実で、その割に実際の攻撃と適合しない箇所がある為、さらに他にも大穴空いてたんだろうという見方も強い。
それ以外にもあったけど報道する方もろくに調査してないのとセキュリティ問題指摘してた専門家(自称?)も目立ちたい為なのか情報ばかり多過ぎて、本当の問題がわかりにくくなってた
リリース直後に中国から買い子がわざわざ入国してた状況の説明が欲しいな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
大きな脆弱性あったんじゃなかった? (スコア:0)
> リスト型攻撃では不正アクセスを受けないはずのユーザーも被害にあっている
> リスト型攻撃とは別の大きな脆弱性が存在しているのではないか、と疑う声が出ている。
パスワードを誰でも変更できる脆弱性があったんじゃなかったっけ。
パスワードを忘れた時のためのページに「新しいパスワードをこちらに送る」みたいなメールアドレス欄があって
誰でも使えたっていう。
違う?
Re: (スコア:0)
「ID(メールアドレス)とパスワード」のリストが無くても、
メールアドレスのリストだけで通る道理だよねぇ…
Re: (スコア:0)
それどころか外部サービス提携機能に大穴があり、
攻撃者が自称で認証成功ってデータ送りつけるとそれ信じて認証通しちゃうクソ穴があったっぽい。
論外級の大穴が二つ以上空いてるのが確実で、
その割に実際の攻撃と適合しない箇所がある為、
さらに他にも大穴空いてたんだろうという見方も強い。
Re: (スコア:0)
それ以外にもあったけど
報道する方もろくに調査してないのと
セキュリティ問題指摘してた専門家(自称?)も目立ちたい為なのか
情報ばかり多過ぎて、本当の問題がわかりにくくなってた
リリース直後に中国から買い子がわざわざ入国してた状況の説明が欲しいな