Re:他は直るのかな (#728504) | サイボウズが独自データベースを捨てMySQLに

「サイボウズが独自データベースを捨てMySQLに」記事へのコメント

記事ページを表示すべてのコメント取得

検索53コメント Log In/Create an Account

他は直るのかな (スコア:0)

by Anonymous Coward

DBを変更するとなると大幅な構成変更になると思うんだが、
ログイン後のクッキーを偽装すると他人に成り済ませるって脆弱性は直るのかな？。

結構致命的な大穴だと思うのでAC。
- Re:他は直るのかな (スコア:1)
  
  by Ryo.F (3896) on 2005年04月27日 18時34分 (#728504) 日記
  
  それは、クッキーの内容がユーザIDなどから簡単に推測できる、ってこと？
  
  シェア
  
  親コメント
  - Re:他は直るのかな (スコア:1, 参考になる)
    
    by Anonymous Coward on 2005年04月27日 22時54分 (#728565)
    
    それどころか、ユーザアカウントが生で入ってる。
    で、そのクッキーを書き換えて渡すと、以降その人になれる。
    符号化されたログインクッキーもあるけど、アカウントのクッキー渡すとそっちを信じる。
    
    メールも、なにもかもイケイケ。
    あげくに、シングルサインオンでつながってる他のシステムまでそのまま入れる。
    
    もしかしたらガルーンだけかも。
    
    シェア
    
    親コメント
    - Re:他は直るのかな (スコア:1)
      
      by Ryo.F (3896) on 2005年04月28日 11時09分 (#728697) 日記
      
      そりゃひどいな…
      
      シェア
      
      親コメント
    - Re:他は直るのかな (スコア:0)
      
      by Anonymous Coward
      
      ということは、いちおうアカウントのある人しか成りすましできないわけですか。
      - Re:他は直るのかな (スコア:0)
        
        by Anonymous Coward
        
        いや、他のユーザーになり済ませちゃまずいでしょ。
  - Re:他は直るのかな (スコア:0)
    
    by Anonymous Coward
    
    サイボウズ Office におけるブラウザスクリプト実行の脆弱性 [jvn.jp]のことかな。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

サイボウズが独自データベースを捨てMySQLに More ログイン

「サイボウズが独自データベースを捨てMySQLに」記事へのコメント

他は直るのかな (スコア:0)

Re:他は直るのかな (スコア:1)

Re:他は直るのかな (スコア:1, 参考になる)

Re:他は直るのかな (スコア:1)

Re:他は直るのかな (スコア:0)

Re:他は直るのかな (スコア:0)

Re:他は直るのかな (スコア:0)

スラド