パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に」記事へのコメント

  • 巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。

    http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]

    「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。

    http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]

    客先は

    --
    モデレータは基本役立たずなの気にしてないよ
    • Re: (スコア:3, 興味深い)

      # どこにぶらさげるか迷ったのですがここへ

      つい最近サービスインしたサービスなんだろうと勝手に思っていたので
      この件は「褒められた行為ではないが心意気は評価はできる」と思ってたのですが
      去年の11月頃から稼働してるサービス [twitter.com]というのなら話は別。

      ・もう半年も動いてるサービスなら今更1日2日急いでもあんまり意味はない(漏洩してるとしたらとっくに漏洩しているハズ)
      ・専務の「来月の会議で検討する」は漏洩を軽く見た

      • by Anonymous Coward on 2011年05月16日 23時46分 (#1953507)

        >・もう半年も動いてるサービスなら今更1日2日急いでもあんまり意味はない(漏洩してるとしたらとっくに漏洩しているハズ)
        >・専務の「来月の会議で検討する」は漏洩を軽く見たのではなく今更焦っても一緒だと考えたからではないか
        >・社長と個人的に相談して済むレベルの話ではないと考えたからこその「会議で検討」だったのではないか

        一番ありそうなのは、単に脅威度が理解できず、判断を下して責任を負わなくて済むように「会議に諮って皆で決めた」という形を得るためだけに先送りをしたというパターンでは? 何か問題が起きた時、それが致命的であればあるほど採用される手法、いわゆる一つのジャパニーズスタンダード。

        しかし、このログインチェックのデタラメさ [twitter.com]とか見てると、単なるSQLインジェクションで抜かれるどころの話じゃないよね。ユーザーの『誰か一人でも』強度の低いパスワードを設定していたら、ブルートフォースというのもおこがましいアタックで簡単に入れてしまう。さらに登録ユーザーが増えれば増えるだけ、穴が大きくなっていく…。
        ちょっと怖すぎます。

        親コメント

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...