パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

岸防衛大臣、実在しない接種券番号で予約した新聞社に抗議する方針」記事へのコメント

  • 確かにシステムはへぼい、へぼいが、その多くが
    * ID作ってSMSなりメールで認証してパスワード作ってログインして…とかできる人が対象なシステムではない
    * 接種番号のフォーマットもわからない、ってか決まっていない
    ことからある意味「仕方ないへぼさ」だろう

    個別の連絡も行くんだし、
    大規模接種会場は認証入りのまともなつくりでもよかった気もするけど、
    本気で実在の個人と紐づいたような個人認証しようと思うと
    証明書を撮影してアップロードしてくださいとか対象層を考えるとかなり無理あるつくりになっちゃうし

    それならもういっそぶっ通し、ってのはありなんかなーと思い直した

    • by Anonymous Coward

      同一の接種券番号で、異なる市町村番号が登録できません [twitter.com] という疑惑が出ている。これが本当だったらまずい。仕方ないへぼさと言い訳できないレベル。抗議どころか惨事を引き起こす前にチェックする機会を作ってくれてありがとうと礼を言わなきゃいけないんじゃないのか。

      • by nnnhhh (47970) on 2021年05月19日 23時44分 (#4034785) 日記

        ホントかどうか知らないが、
        こういう疑惑が出るのもやむなしかね
        分かんないんだもんね作りが

        もうなんか設計書とテスト用の番号等一式公開して叩いてもらうってのがええんかも?
        きっと死ぬほど叩いてくれるだろう

        公開前にやって公開時にDBリセットすれば良いか
        DBの違うテストサイト公開してもいいね

        クエリ書き換えとか本番環境では流石に躊躇われる検査までできそうだ
        わざと穴残してますとか仕込むとやる気上がるかも?やりすぎ?

        愉快犯だけが致命的な穴見つけたりすると問題だけど、
        ペネトレーションの会社とかが広告でやってくれるかもしれんし…

        どうです今からでも防衛省さん

        親コメント
        • by Anonymous Coward

          とりあえず以下のような話と理解した。本当にそうなっているかどうかは未確認(ヘタレ)。

          疑惑があるのは、最初に表示されるページで市町村番号、接種券番号、生年月日を入力して認証ボタンを押すところ。市町村番号+接種券番号がID、生年月日がパスワードになっていると考えればよい。認証ボタンを押すと、IDが初めて入力されたもののときは、対応するパスワード(生年月日)が登録され、登録済みのIDのときは対応するパスワードが一致しない場合ははじかれる(認証ボタンを押すと登録されてしまうという仕様もいかがなものかという気はするが)。

          疑惑の内容は、IDが市

          • by Anonymous Coward

            > 違う市町村番号+同じ接種券番号+同じ生年月日 → 入れる (結果は正しい)

            接種券番号は市町村ごとに一意だから、異なる市町村で同じ接種券番号を持つ別人がいるかもしれず、入れちゃうとまずいんじゃないの(もっとも、生年月日まで一致するケースはまれだとは思うけど)。
            例のバーコード読み取り問題も、それがあるから接種券番号のバーコードは信用せず、市町村コードを含んだ別のIDを振ってOCRで読み取ろうって発想から来ているわけで。

            • by Anonymous Coward

              「違う市町村番号+同じ接種券番号+同じ生年月日」のケースは、その市町村番号+接種券番号のペアが未登録だということを前提としている。期待する動作は、新規の人が来たのだから入力された生年月日をパスワードとして登録して入れるというものになる。

人生unstable -- あるハッカー

処理中...