アカウント名:
パスワード:
確かにシステムはへぼい、へぼいが、その多くが* ID作ってSMSなりメールで認証してパスワード作ってログインして…とかできる人が対象なシステムではない* 接種番号のフォーマットもわからない、ってか決まっていないことからある意味「仕方ないへぼさ」だろう
個別の連絡も行くんだし、大規模接種会場は認証入りのまともなつくりでもよかった気もするけど、本気で実在の個人と紐づいたような個人認証しようと思うと証明書を撮影してアップロードしてくださいとか対象層を考えるとかなり無理あるつくりになっちゃうし
それならもういっそぶっ通し、ってのはありなんかなーと思い直した現地で徹夜で並ぶとかが防げりゃいいんだよ程度の開き直りだな
それを公言しない(年寄りに難しいもん扱えないだろ!住民票アップデートとかしたいのか!と言えない)んだったら「ごめんね」「残念です」ぐらいにしておくのが妥当じゃないだろうか
各社の検証をまねてDOSする奴が出てきても困るから怒ってる困ってるポーズは必要だろうそう思えばTwitterで「厳重に抗議」ってのは結構いいところじゃないのかな
もし訴訟だとか呼び出して叱責とかやるつもりなのであれば、それはやりすぎだと思う
ゴメン 住民票アップロード の間違いっす
だからマイナンバーを使えと「マイナンバーを使うな、だけど円滑に予約できるようにしろ」って要求と「人を殺すな、だけど平和は守れ」っていう防衛省への要求と似てはいる。
なるほど、だから防衛省なんですね!矛盾に耐え、非難を受けるのに慣れてると辛い仕事だなぁ
Torからもアクセスできる門戸の広さ。SQLインジェクションも可能な緩いドア。
そんなシステムにマイナンバー扱わせようなんて言うの、正気か???
年金機構の情報漏洩事件を超える大きなサイバー攻撃が起こるの間違いなしだろう。そんなに日本に損害を与えたいあなたは何者?北朝鮮の工作員?
Torからのアクセスを否定する理由は何?なんで弾かなきゃダメなん?Torって何か知ってる??SQLインジェクションが可能ってどこ情報?まさか便所の落書き信じちゃってる?
そんな「ザ・ネットの真実君」がよくまぁ他人にそんなこと言えるな
君がグンマーだからさ
いきなり工作員とか言い出す人って、SQLインジェクションも可能だっていう戯言を信じちゃう頭の緩い人だという認識を新たにしたhttps://srad.jp/comment/4033451 [srad.jp]
「人を殺すな、だけど平和は守れ」っていう防衛省への要求
彼らが求めているのは「奴隷の平和」。矛盾でも何でも無い。
何年か前にすらどでも出てたけど改正戸籍法で副本が法務大臣直轄になったので電子化は徐々にっすね
電話より輻輳しないぐらいの理由しかないですなせっかく自衛隊が噛んでるんだから自衛隊員使っての人海戦術コールセンターはありだったかもしれない?
自衛隊が設営運用依頼されたって話ですしデジタル庁が出張るほどでもなく、ガンガン出張っても大して改善できる気がしない
デジタル庁が存在感出したいならもっとやることあるだろうからそっちやってほしいですねぇ…目立つことは目立つけど先に書いたように根本仕様に無理があるシステムはどうやったってうまくできないですし
単なる入力ミス、選択ミスすら弾けないってのはちょっとなあ。ぶっちゃけ全国民向けみたいなシステムで二度手間・三度手間を増やすとトータルでは相当にかさんじゃうぞ。
たしかにそこもヘボいけど、システムとして問題になってるのは認証とか予約番号の確認なのかな、と思って書きませんでした(長くなりすぎたので消した)
月日や住所コードは存在しないものに間違えたら弾くことができるけど存在する範囲で間違えたどうせ何もできないんだし、みっともないぐらいで大して変わるものでもないかな、とむしろ「絶対間違ってんなこれ」と明確になるまであるかも?
慣れてない住所コードを入れさせるのはどーかと思うけどね郵便番号とかだとずれてたりするんかなぁ冗長性のために住所を文字で入れるところぐらいはあってもよかったかも
同様に氏名も入れさせりゃいいのに…個人情報とかの都合なのかな
予約番号にチェックデジットがないのは本当にクソだけどシステムのせいじゃないしなぁ
冗長性として成年を元号や干支で入れさせるのはどうか月日は…厳しいな
同一の接種券番号で、異なる市町村番号が登録できません [twitter.com] という疑惑が出ている。これが本当だったらまずい。仕方ないへぼさと言い訳できないレベル。抗議どころか惨事を引き起こす前にチェックする機会を作ってくれてありがとうと礼を言わなきゃいけないんじゃないのか。
ホントかどうか知らないが、こういう疑惑が出るのもやむなしかね分かんないんだもんね作りが
もうなんか設計書とテスト用の番号等一式公開して叩いてもらうってのがええんかも?きっと死ぬほど叩いてくれるだろう
公開前にやって公開時にDBリセットすれば良いかDBの違うテストサイト公開してもいいね
クエリ書き換えとか本番環境では流石に躊躇われる検査までできそうだわざと穴残してますとか仕込むとやる気上がるかも?やりすぎ?
愉快犯だけが致命的な穴見つけたりすると問題だけど、ペネトレーションの会社とかが広告でやってくれるかもしれんし…
どうです今からでも防衛省さん
とりあえず以下のような話と理解した。本当にそうなっているかどうかは未確認(ヘタレ)。
疑惑があるのは、最初に表示されるページで市町村番号、接種券番号、生年月日を入力して認証ボタンを押すところ。市町村番号+接種券番号がID、生年月日がパスワードになっていると考えればよい。認証ボタンを押すと、IDが初めて入力されたもののときは、対応するパスワード(生年月日)が登録され、登録済みのIDのときは対応するパスワードが一致しない場合ははじかれる(認証ボタンを押すと登録されてしまうという仕様もいかがなものかという気はするが)。
疑惑の内容は、IDが市
> 違う市町村番号+同じ接種券番号+同じ生年月日 → 入れる (結果は正しい)
接種券番号は市町村ごとに一意だから、異なる市町村で同じ接種券番号を持つ別人がいるかもしれず、入れちゃうとまずいんじゃないの(もっとも、生年月日まで一致するケースはまれだとは思うけど)。例のバーコード読み取り問題も、それがあるから接種券番号のバーコードは信用せず、市町村コードを含んだ別のIDを振ってOCRで読み取ろうって発想から来ているわけで。
「違う市町村番号+同じ接種券番号+同じ生年月日」のケースは、その市町村番号+接種券番号のペアが未登録だということを前提としている。期待する動作は、新規の人が来たのだから入力された生年月日をパスワードとして登録して入れるというものになる。
試した感じそんなことなさそうだぞ
同一の接種券番号で、異なる市町村番号を入力して試したってこと?「厳重に抗議」案件になるのでは?
抗議されるだけなら甘受するしかないなぁ嘘ネタが広まるのも嫌だしな
それはそれでマズいが報道された内容とは別の話だな。礼を言う筋合いはない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
そんなもんでしょ (スコア:5, すばらしい洞察)
確かにシステムはへぼい、へぼいが、その多くが
* ID作ってSMSなりメールで認証してパスワード作ってログインして…とかできる人が対象なシステムではない
* 接種番号のフォーマットもわからない、ってか決まっていない
ことからある意味「仕方ないへぼさ」だろう
個別の連絡も行くんだし、
大規模接種会場は認証入りのまともなつくりでもよかった気もするけど、
本気で実在の個人と紐づいたような個人認証しようと思うと
証明書を撮影してアップロードしてくださいとか対象層を考えるとかなり無理あるつくりになっちゃうし
それならもういっそぶっ通し、ってのはありなんかなーと思い直した
現地で徹夜で並ぶとかが防げりゃいいんだよ程度の開き直りだな
それを公言しない(年寄りに難しいもん扱えないだろ!住民票アップデートとかしたいのか!と言えない)んだったら
「ごめんね」「残念です」ぐらいにしておくのが妥当じゃないだろうか
各社の検証をまねてDOSする奴が出てきても困るから怒ってる困ってるポーズは必要だろう
そう思えばTwitterで「厳重に抗議」ってのは結構いいところじゃないのかな
もし訴訟だとか呼び出して叱責とかやるつもりなのであれば、それはやりすぎだと思う
Re:そんなもんでしょ (スコア:2)
ゴメン 住民票アップロード の間違いっす
Re:そんなもんでしょ (スコア:2, 興味深い)
だからマイナンバーを使えと
「マイナンバーを使うな、だけど円滑に予約できるようにしろ」
って要求と
「人を殺すな、だけど平和は守れ」
っていう防衛省への要求と似てはいる。
Re:そんなもんでしょ (スコア:3)
なるほど、だから防衛省なんですね!
矛盾に耐え、非難を受けるのに慣れてると
辛い仕事だなぁ
Re: (スコア:0)
Torからもアクセスできる門戸の広さ。
SQLインジェクションも可能な緩いドア。
そんなシステムにマイナンバー扱わせようなんて言うの、正気か???
年金機構の情報漏洩事件を超える大きなサイバー攻撃が起こるの間違いなしだろう。
そんなに日本に損害を与えたいあなたは何者?
北朝鮮の工作員?
Re: (スコア:0)
Torからのアクセスを否定する理由は何?なんで弾かなきゃダメなん?Torって何か知ってる??
SQLインジェクションが可能ってどこ情報?まさか便所の落書き信じちゃってる?
そんな「ザ・ネットの真実君」がよくまぁ他人にそんなこと言えるな
Re: (スコア:0)
君がグンマーだからさ
Re: (スコア:0)
いきなり工作員とか言い出す人って、SQLインジェクションも可能だっていう戯言を信じちゃう頭の緩い人だという認識を新たにした
https://srad.jp/comment/4033451 [srad.jp]
Re: (スコア:0)
「人を殺すな、だけど平和は守れ」っていう防衛省への要求
彼らが求めているのは「奴隷の平和」。
矛盾でも何でも無い。
Re: (スコア:0)
何年か前にすらどでも出てたけど
改正戸籍法で副本が法務大臣直轄になったので電子化は徐々にっすね
Re:そんなもんでしょ (スコア:1)
Re:そんなもんでしょ (スコア:2)
電話より輻輳しないぐらいの理由しかないですな
せっかく自衛隊が噛んでるんだから自衛隊員使っての人海戦術コールセンターはありだったかもしれない?
Re:そんなもんでしょ (スコア:1)
Re:そんなもんでしょ (スコア:2)
自衛隊が設営運用依頼されたって話ですし
デジタル庁が出張るほどでもなく、ガンガン出張っても大して改善できる気がしない
デジタル庁が存在感出したいならもっとやることあるだろうから
そっちやってほしいですねぇ…
目立つことは目立つけど先に書いたように根本仕様に無理があるシステムは
どうやったってうまくできないですし
Re: (スコア:0)
単なる入力ミス、選択ミスすら弾けないってのはちょっとなあ。
ぶっちゃけ全国民向けみたいなシステムで二度手間・三度手間を増やすとトータルでは相当にかさんじゃうぞ。
Re:そんなもんでしょ (スコア:2)
たしかにそこもヘボいけど、
システムとして問題になってるのは認証とか予約番号の確認なのかな、と思って書きませんでした(長くなりすぎたので消した)
月日や住所コードは存在しないものに間違えたら弾くことができるけど
存在する範囲で間違えたどうせ何もできないんだし、
みっともないぐらいで大して変わるものでもないかな、と
むしろ「絶対間違ってんなこれ」と明確になるまであるかも?
慣れてない住所コードを入れさせるのはどーかと思うけどね
郵便番号とかだとずれてたりするんかなぁ
冗長性のために住所を文字で入れるところぐらいはあってもよかったかも
同様に氏名も入れさせりゃいいのに…個人情報とかの都合なのかな
予約番号にチェックデジットがないのは本当にクソだけどシステムのせいじゃないしなぁ
Re: (スコア:0)
冗長性として成年を元号や干支で入れさせるのはどうか
月日は…厳しいな
Re: (スコア:0)
同一の接種券番号で、異なる市町村番号が登録できません [twitter.com] という疑惑が出ている。これが本当だったらまずい。仕方ないへぼさと言い訳できないレベル。抗議どころか惨事を引き起こす前にチェックする機会を作ってくれてありがとうと礼を言わなきゃいけないんじゃないのか。
Re:そんなもんでしょ (スコア:2)
ホントかどうか知らないが、
こういう疑惑が出るのもやむなしかね
分かんないんだもんね作りが
もうなんか設計書とテスト用の番号等一式公開して叩いてもらうってのがええんかも?
きっと死ぬほど叩いてくれるだろう
公開前にやって公開時にDBリセットすれば良いか
DBの違うテストサイト公開してもいいね
クエリ書き換えとか本番環境では流石に躊躇われる検査までできそうだ
わざと穴残してますとか仕込むとやる気上がるかも?やりすぎ?
愉快犯だけが致命的な穴見つけたりすると問題だけど、
ペネトレーションの会社とかが広告でやってくれるかもしれんし…
どうです今からでも防衛省さん
Re: (スコア:0)
とりあえず以下のような話と理解した。本当にそうなっているかどうかは未確認(ヘタレ)。
疑惑があるのは、最初に表示されるページで市町村番号、接種券番号、生年月日を入力して認証ボタンを押すところ。市町村番号+接種券番号がID、生年月日がパスワードになっていると考えればよい。認証ボタンを押すと、IDが初めて入力されたもののときは、対応するパスワード(生年月日)が登録され、登録済みのIDのときは対応するパスワードが一致しない場合ははじかれる(認証ボタンを押すと登録されてしまうという仕様もいかがなものかという気はするが)。
疑惑の内容は、IDが市
Re: (スコア:0)
> 違う市町村番号+同じ接種券番号+同じ生年月日 → 入れる (結果は正しい)
接種券番号は市町村ごとに一意だから、異なる市町村で同じ接種券番号を持つ別人がいるかもしれず、入れちゃうとまずいんじゃないの(もっとも、生年月日まで一致するケースはまれだとは思うけど)。
例のバーコード読み取り問題も、それがあるから接種券番号のバーコードは信用せず、市町村コードを含んだ別のIDを振ってOCRで読み取ろうって発想から来ているわけで。
Re: (スコア:0)
「違う市町村番号+同じ接種券番号+同じ生年月日」のケースは、その市町村番号+接種券番号のペアが未登録だということを前提としている。期待する動作は、新規の人が来たのだから入力された生年月日をパスワードとして登録して入れるというものになる。
Re: (スコア:0)
試した感じそんなことなさそうだぞ
Re: (スコア:0)
同一の接種券番号で、異なる市町村番号を入力して試したってこと?「厳重に抗議」案件になるのでは?
Re: (スコア:0)
抗議されるだけなら甘受するしかないなぁ
嘘ネタが広まるのも嫌だしな
Re: (スコア:0)
それはそれでマズいが報道された内容とは別の話だな。礼を言う筋合いはない。