アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:5, 参考になる)
Slash CodeでCookieがどう使われているかがを考えれば,
この脆弱性は致命的だ。すでに実証コードも出ている。
スラッシュドットジャパンの管理者へ
NamazuのUpdateが完了するまでnamazu.cgiをとめろ!
今すぐだ! 今すぐ!
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:0)
私の認識だと
・スラッシュドット内でのなりすまし → 荒らし、日記削除(?)
くらいの脅威しか思いつかないんですが実際にはたとえば
・他のサイトも含めたクッキーを盗み放題 → 使い方によっては危険
・任意のブラウザバグコードを埋め込む
→
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:2, 参考になる)
上にもあるけどログアウトしてたらcookieの中身は読まなかったので、ログアウトするしか。
#といいつつID。
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:2, 興味深い)
ここを旧パスワードもチェックするようにすれば、少なくともパスワードを変えられてしまう事は防げるんじゃないだろうか。
割と一般的な仕様ではあると思いますが。それでも、メールアドレスなどの個人情報を覗かれるのや
パスワード変更 (スコア:2, 興味深い)
新規アカウント取得のときmax24文字のパスワードが指示されていて、設定できる
(20文字以上のパスワード設定なのでログイン不能におちいる)
というバグというか新規ユーザへの罠は改善されたのでしょうか?
あと、パスワードに使用できない文字が指示されていない罠とかも。
(これも、パスワード設定はできるがログイン不可になる)
Re:パスワード変更 (スコア:0)
後者 [osdn.jp]は結局どうなったんだ?
#試せよ>自分