他は直るのかな (#728492) | サイボウズが独自データベースを捨てMySQLに

「サイボウズが独自データベースを捨てMySQLに」記事へのコメント

記事ページを表示すべてのコメント取得

検索53コメント Log In/Create an Account

他は直るのかな (スコア:0)

by Anonymous Coward on 2005年04月27日 17時44分 (#728492)

DBを変更するとなると大幅な構成変更になると思うんだが、
ログイン後のクッキーを偽装すると他人に成り済ませるって脆弱性は直るのかな？。

結構致命的な大穴だと思うのでAC。
- Re:他は直るのかな (スコア:1)
  
  by Ryo.F (3896) on 2005年04月27日 18時34分 (#728504) 日記
  
  それは、クッキーの内容がユーザIDなどから簡単に推測できる、ってこと？
  
  シェア
  
  親コメント
  - Re:他は直るのかな (スコア:1, 参考になる)
    
    by Anonymous Coward on 2005年04月27日 22時54分 (#728565)
    
    それどころか、ユーザアカウントが生で入ってる。
    で、そのクッキーを書き換えて渡すと、以降その人になれる。
    符号化されたログインクッキーもあるけど、アカウントのクッキー渡すとそっちを信じる。
    
    メールも、なにもかもイケイケ。
    あげくに、シングルサインオンでつながってる他のシステムまでそのまま入れる。
    
    もしかしたらガルーンだけかも。
    
    シェア
    
    親コメント
    - Re:他は直るのかな (スコア:1)
      
      by Ryo.F (3896) on 2005年04月28日 11時09分 (#728697) 日記
      
      そりゃひどいな…
      
      シェア
      
      親コメント
    - Re:他は直るのかな (スコア:0)
      
      by Anonymous Coward
      
      ということは、いちおうアカウントのある人しか成りすましできないわけですか。
      - Re:他は直るのかな (スコア:0)
        
        by Anonymous Coward
        
        いや、他のユーザーになり済ませちゃまずいでしょ。
  - Re:他は直るのかな (スコア:0)
    
    by Anonymous Coward
    
    サイボウズ Office におけるブラウザスクリプト実行の脆弱性 [jvn.jp]のことかな。
- Re:他は直るのかな (スコア:0)
  
  by Anonymous Coward
  
  ログイン後のクッキーを偽装すると他人に成り済ませるって脆弱性は直るのかな？。
  うそーん、desknets には前にそういうのがあったけど、サイボウズもなの??
  にわかには信じがたいんだけど、
  そういうヤバイ第一級の脆弱性は IPA に届け出れよなー。ここに書く前にさあ。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

サイボウズが独自データベースを捨てMySQLに More ログイン

「サイボウズが独自データベースを捨てMySQLに」記事へのコメント

他は直るのかな (スコア:0)

Re:他は直るのかな (スコア:1)

Re:他は直るのかな (スコア:1, 参考になる)

Re:他は直るのかな (スコア:1)

Re:他は直るのかな (スコア:0)

Re:他は直るのかな (スコア:0)

Re:他は直るのかな (スコア:0)

Re:他は直るのかな (スコア:0)

スラド