パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

サイボウズが独自データベースを捨てMySQLに」記事へのコメント

  • by Anonymous Coward
    DBを変更するとなると大幅な構成変更になると思うんだが、
    ログイン後のクッキーを偽装すると他人に成り済ませるって脆弱性は直るのかな?。

    結構致命的な大穴だと思うのでAC。
    • それは、クッキーの内容がユーザIDなどから簡単に推測できる、ってこと?
      • by Anonymous Coward
        それどころか、ユーザアカウントが生で入ってる。
        で、そのクッキーを書き換えて渡すと、以降その人になれる。
        符号化されたログインクッキーもあるけど、アカウントのクッキー渡すとそっちを信じる。

        メールも、なにもかもイケイケ。
        あげくに、シングルサインオンでつながってる他のシステムまでそのまま入れる。

        もしかしたらガルーンだけかも。

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...