アカウント名:
パスワード:
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
客先は
# どこにぶらさげるか迷ったのですがここへ
つい最近サービスインしたサービスなんだろうと勝手に思っていたのでこの件は「褒められた行為ではないが心意気は評価はできる」と思ってたのですが 去年の11月頃から稼働してるサービス [twitter.com]というのなら話は別。
・もう半年も動いてるサービスなら今更1日2日急いでもあんまり意味はない(漏洩してるとしたらとっくに漏洩しているハズ)・専務の「来月の会議で検討する」は漏洩を軽く見た
>・もう半年も動いてるサービスなら今更1日2日急いでもあんまり意味はない(漏洩してるとしたらとっくに漏洩しているハズ)>・専務の「来月の会議で検討する」は漏洩を軽く見たのではなく今更焦っても一緒だと考えたからではないか>・社長と個人的に相談して済むレベルの話ではないと考えたからこその「会議で検討」だったのではないか
一番ありそうなのは、単に脅威度が理解できず、判断を下して責任を負わなくて済むように「会議に諮って皆で決めた」という形を得るためだけに先送りをしたというパターンでは? 何か問題が起きた時、それが致命的であればあるほど採用される手法、いわゆる一つのジャパニーズスタンダード。
しかし、このログインチェックのデタラメさ [twitter.com]とか見てると、単なるSQLインジェクションで抜かれるどころの話じゃないよね。ユーザーの『誰か一人でも』強度の低いパスワードを設定していたら、ブルートフォースというのもおこがましいアタックで簡単に入れてしまう。さらに登録ユーザーが増えれば増えるだけ、穴が大きくなっていく…。ちょっと怖すぎます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
警察を呼ぶ専務、理解を示す社長 (スコア:4, おもしろおかしい)
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:3, 興味深い)
# どこにぶらさげるか迷ったのですがここへ
つい最近サービスインしたサービスなんだろうと勝手に思っていたので
この件は「褒められた行為ではないが心意気は評価はできる」と思ってたのですが
去年の11月頃から稼働してるサービス [twitter.com]というのなら話は別。
・もう半年も動いてるサービスなら今更1日2日急いでもあんまり意味はない(漏洩してるとしたらとっくに漏洩しているハズ)
・専務の「来月の会議で検討する」は漏洩を軽く見た
Re:警察を呼ぶ専務、理解を示す社長 (スコア:0)
>・もう半年も動いてるサービスなら今更1日2日急いでもあんまり意味はない(漏洩してるとしたらとっくに漏洩しているハズ)
>・専務の「来月の会議で検討する」は漏洩を軽く見たのではなく今更焦っても一緒だと考えたからではないか
>・社長と個人的に相談して済むレベルの話ではないと考えたからこその「会議で検討」だったのではないか
一番ありそうなのは、単に脅威度が理解できず、判断を下して責任を負わなくて済むように「会議に諮って皆で決めた」という形を得るためだけに先送りをしたというパターンでは? 何か問題が起きた時、それが致命的であればあるほど採用される手法、いわゆる一つのジャパニーズスタンダード。
しかし、このログインチェックのデタラメさ [twitter.com]とか見てると、単なるSQLインジェクションで抜かれるどころの話じゃないよね。ユーザーの『誰か一人でも』強度の低いパスワードを設定していたら、ブルートフォースというのもおこがましいアタックで簡単に入れてしまう。さらに登録ユーザーが増えれば増えるだけ、穴が大きくなっていく…。
ちょっと怖すぎます。