アカウント名:
パスワード:
それはやばいんじゃないの?高木氏の日記の続編 [takagi-hiromitsu.jp]のここ↓読んだ?
※上記対象製品をイントラネット内でのみ運用している場合に、外部(インターネット網)から攻撃を受けることはございません。 という(赤字で強調された)記述だが、これは本当だろうか? (・・・) 今回の脆弱性の詳細を知らないのでわからないが、SQLインジェクションについては、「データベース内のデータ操作」という脅威があるそうだが、GETにせよ、POSTにせよ、ログイン中のユーザが悪意ある外部サイトのページを開いただけのタイミングでも起きるように思えるのだが。「イントラネット内でのみ運用している場合」といっても、ブラウザがインターネット上のWebサイトを閲覧できないようにしてあるというわけではあるまい。
※上記対象製品をイントラネット内でのみ運用している場合に、外部(インターネット網)から攻撃を受けることはございません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
影響範囲 (スコア:0, 興味深い)
うちの場合は事務部門である程度メンテできる必要があるという理由もあり,WebサーバはIISで作ってしまっています。 Webサーバのログはとっていて,外部からのアクセスは許していないので(外部から利用する一部ユーザはSSHでトンネルを掘って使用しています)今回の更新は見送ろうと思います。
今回の件では微妙にサイボウズ担当者に同情してしまいました。この手のソフトはそもそもイントラネット内で閉じた使い方を想定して作っているでしょうから。
インターネットからイントラネットとしてのサイボウズシリーズにアクセスできてしまう, まずいシステム構築の仕方をするユーザが多いことが本当の問題かと。
Re:影響範囲 (スコア:0)
それはやばいんじゃないの?高木氏の日記の続編 [takagi-hiromitsu.jp]のここ↓読んだ?
メール開いただけでドカンとかじゃないだろうか。