アカウント名:
パスワード:
たしかにACCSはもう少し注意することができたかもしれない。だけどね、officeがアクセスしなければ漏洩は始めから存在しないのだよ。
不正にアクセスしなけりゃいいんじゃないのか?
ガチガチにセキュリティをかけるには何百万円もかかる。そんなの小さい団体に出せるわけがないじゃないか。もっと現実を見てほしい。
ファイル名を指定しただけでダウンロードできてしまうような超初歩的な欠陥に気付かなかったようなところが、自分で不正コピーに気付けるのですか?
直近の情報がすべて記録されているファイルが存在することはないと認識しておりましたが、フォルダ内を調べたところ該当するファイルを確認し
とかいう、全く何も気を遣っていなかったような人たちが、自分で不正コピーに気
専用のツールを作るしかないとしたらちょっとやそっとでマネする人はなかなかいなかったんじゃぁないかな。
そんなもん、ツールなんていらない。ブラウザすらいらない。telnet するだけ。
telnet www.example.com 80 ... POST /cgi-bin/foo.cgi Referer: http://www.example.com/foo.html filename=/usr/data/foo.csv
セーブし、エディタで修正し、そこからPOSTしたわけです。
perl で cgi を作るのだったら、普通は CGI.pm とか CGI::Lite.pm を使って、そのあたりのことは意識しないようにするものだと思うのですが…
普通は、その上で request_method() メソッドとか使って POST だけを許可とかやりませんか? ポリシーに応じて。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
盗む奴がいなければ問題は起きない。 (スコア:-1, フレームのもと)
たしかにACCSはもう少し注意することができたかもしれない。だけどね、officeがアクセスしなければ漏洩は始めから存在しないのだよ。
不正にアクセスしなけりゃいいんじゃないのか?
ガチガチにセキュリティをかけるには何百万円もかかる。そんなの小さい団体に出せるわけがないじゃないか。もっと現実を見てほしい。
Re:盗む奴がいなければ問題は起きない。 (スコア:0)
ファイル名を指定しただけでダウンロードできてしまうような超初歩的な欠陥に気付かなかったようなところが、自分で不正コピーに気付けるのですか?
とかいう、全く何も気を遣っていなかったような人たちが、自分で不正コピーに気
Re:盗む奴がいなければ問題は起きない。 (スコア:0)
実際にはそんな簡単な欠陥ではないのですが、そういうことにしておきたい人が山のようにいますねぇ(w
Re:盗む奴がいなければ問題は起きない。 (スコア:0)
実際にそんな簡単な欠陥でしたよ。
エステやらとの違いは、ファイル名を指定する場所がヘッダじゃなくてボディだったというだけ。
まあ、あんたにはヘッダとかボディつーても意味がわからんのだろうけどな。意味わからんやつがしゃべることは総じて罪。
Re:盗む奴がいなければ問題は起きない。 (スコア:0)
w
なんだ、わけもわからずに書いてるだけか。
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
エステの流出は GET でパラメータを送って取ったけど、この場合は POST のパラメータを送って取った。
それだけの違いしかないですよ。
httpのGETメソッドのリクエストは
GET /directory/file HTTP/1.0
(空行)
で、POSTメソッドのリクエストは
POST /directory/file HTTP/1.0
Content-Length: 10
(空行)
Data-part.
となっています。なお、空行で区切られてる部分までを「ヘッダ」と呼ぶわけです。
さて、「わけもわから」ないのはどっちでしょう?
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
・たいていの CGI は、POST でも GET でも同じ引数を指定すれば、同じ動作をします。
ですから、POST か GET かというのは本質的には違いはありません。
Re:盗む奴がいなければ問題はバレない。 (スコア:0)
話にならん、テンプレ [geocities.jp]でも読んで出直して来い。
なんで思い込みだけでぐだぐだ語りたがるんだろうなぁ、ったく。
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
ところで、今回問題になっているcgiはPOSTでしか問題の動作をしないものだったという話を聞きましたが、その辺はどうでしょうか?
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
そのサイトの中の、
■office氏はどんな方法で個人情報にアクセスしたの? [geocities.jp]に、私が書いたのと同じ内容がありますよ?
Re:盗む奴がいなければ問題はバレない。 (スコア:1, すばらしい洞察)
ですから、POST か GET かというのは本質的には違いはありません。
のような事を平気で言うヤツが作るCGIスクリプト/プログラムが危ないのだよね、実際。リクエストメソッド(やリクエストヘッダ)をチェックしないで処理してる、って事じゃない、それはさ。
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
セキュリティ上の観点からGETかPOSTかは厳密に区別しろ、という話であれば、そういう意見があることはわかりますが、
perl で cgi を作るのだったら、普通は CGI.pm とか CGI::Lite.pm を使って、そのあたりのことは意識しないようにするものだと思うのですが…
Re:盗む奴がいなければ問題はバレない。 (スコア:0)
メソッドをPOSTにさえしておけば十分に堅牢になったとでも?
このケースでは堅牢さにおいては全く変わりないですよ。
無論、メソッドをPOSTだけにしておきたいならそのほうが良いですが。
(ところで、ACCSのくだんのCGIはoffice氏の登攀ルートではPOSTしか許してはいませんでした。別ルートがあってGETで可能であったかもしれなかったけれども調べてはいないとoffice氏が言っていたことを思い出しました。)
Re:盗む奴がいなければ問題はバレない。 (スコア:0)
そんなもん、ツールなんていらない。ブラウザすらいらない。telnet するだけ。
telnet www.example.com 80
...
POST /cgi-bin/foo.cgi
Referer: http://www.example.com/foo.html
filename=/usr/data/foo.csv
Re:盗む奴がいなければ問題はバレない。 (スコア:0)
CGI.pmとかが、たまたまリクエストメソッドの違いを見せない実装になっているだけの話なんだよね。あまり分かってない素人衆には、小難しい事が隠れているそういう実装はありがたいだろうとは思うよ。けど、CGI.pmを生で使ってそれだけ、CGI.pmの実装がどうなっているかは気にならない、というのは、それだけのレベルでしかないんだよね。
GETとPOSTでは制約の条件が明らかに違うし。GETで十万バイト位のフォームデ
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
>Referer: http://www.example.com/foo.html
>
>filename=/usr/data/foo.csv
うーん。Content-lengthとエンティティボディの実際の長さ位はチェックしないかしら。最近はそういう面倒臭いチェックとかは、しないものなのかしらん。
>それがわかってない奴は、お願いだから、セキュリティが
>求められる仕事にたずさわらないでくれ。
これは同感。尻拭いが大変でねえ。首にすれば簡単なんだけど、そうは行かない場合もあって。
Re:盗む奴がいなければ問題はバレない。 (スコア:1)
普通は、その上で request_method() メソッドとか使って POST だけを許可とかやりませんか? ポリシーに応じて。