アカウント名:
パスワード:
同じミスをやらかす会社がゴロゴロ出てきてるけど、海外では話題になってない。国内SIerが脆弱性のあるテンプレート使い回した案件、とかではないのだろうかね?
氷山の一角というぐらいだから、あるSIerがという話ではないようにも見える。設定の不備とか言ってるが、漏れたらヤバいような情報にゲストがアクセスできる設定が可能ってのは、ちょっと柔軟すぎやしないかw
使ったことないから的外れかもしれないが、「メールマガジン配信希望のチェックボックスが初期設定でチェックされている」のと同じ様な設計だったとか。チェックを外すのを忘れると「何もしていないのに」となる。他にも「誘導型画面デザイン」で、ラベルリンクをクリックするところをボタンをクリックしてしまったとか。
同様にして「ゲストがアクセスできる設定が可能」というよりも「ゲストが初期設定でアクセス可能なので、ゲストがアクセス*できない様に設定する*には追加設定する」という設計だったのでは。
「初期設定で(何もしていないのに)公開されるとは思いませんでした。」とこの前の流出させた人も。まあ、クッキーにしても同意も何もしていないのに個人情報が収集され広告に利用されたというような問題がちょっと前までありましたし。「拒否の意思表示」をしないといけないという仕様もあるわけで。拒否をしなければ同意とみなす仕様というのも考えものですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
個別事案なのかな (スコア:1)
同じミスをやらかす会社がゴロゴロ出てきてるけど、海外では話題になってない。
国内SIerが脆弱性のあるテンプレート使い回した案件、とかではないのだろうかね?
Re: (スコア:0)
氷山の一角というぐらいだから、あるSIerがという話ではないようにも見える。
設定の不備とか言ってるが、漏れたらヤバいような情報にゲストがアクセスできる設定が可能ってのは、
ちょっと柔軟すぎやしないかw
Re: (スコア:0)
使ったことないから的外れかもしれないが、
「メールマガジン配信希望のチェックボックスが初期設定でチェックされている」
のと同じ様な設計だったとか。チェックを外すのを忘れると「何もしていないのに」となる。
他にも「誘導型画面デザイン」で、ラベルリンクをクリックするところをボタンをクリックしてしまったとか。
同様にして
「ゲストがアクセスできる設定が可能」というよりも「ゲストが初期設定でアクセス可能なので、ゲストがアクセス*できない様に設定する*には追加設定する」という設計だったのでは。
「初期設定で(何もしていないのに)公開されるとは思いませんでした。」とこの前の流出させた人も。まあ、クッキーにしても同意も何もしていないのに個人情報が収集され広告に利用されたというような問題がちょっと前までありましたし。「拒否の意思表示」をしないといけないという仕様もあるわけで。拒否をしなければ同意とみなす仕様というのも考えものですね。