私「管理サーバの管理者IDとPWって、わたくしは知らないハズですけども、●●と××ですよね？」先方「え……」

腸が弱い🦖 @pes_so

よい子のみんな！自社のシステムをたっかいお金払ってISO取得してるでっかい会社に依頼したからといって安心しちゃいけないよ！ヤツらは平気でサーバーへのPWを平文で受け渡したりするよ！

腸が弱い🦖 @pes_so

自社システムいじってたら、半年以上前に修正してもらったPWを平文で受け渡すバグの他に、何故かユーザー権限でログインしてるのにサーバに平文で管理者ID & PWを受け渡すバグを発見して残業フラグがびんびん立っている…

腸が弱い🦖 @pes_so

結構大手ですらこんな感じのシステムへーきで作ったりしてくるので、世の中の会社のひとは、セキュリティに「そこそこ」程度でいいので詳しい人をひとりつけて、そのシステムをチェックさせたほうがいいデスヨ……

腸が弱い🦖 @pes_so

システム会社に電話してみた：私「すみません、半年ちょい前に改修していただいた、PWを平文で送信して履歴に残す件ですけど、ユーザー権限でログインしてるのに管理者権限のIDとPWを平文で受渡してるみたいなんですが…」先方「え、そんなことないですよ、改修しましたしー」

腸が弱い🦖 @pes_so

私「管理サーバの管理者IDとPWって、わたくしは知らないハズですけども、●●と××ですよね？」先方「え……」

腸が弱い🦖 @pes_so

マジでこんな会話が行われていたなう

さいころ @ts_3156

@pesso パスワードを平文で受け渡すって、具体的にはどういう意味ですか？

りゅうさぎ @ryuusagi

@pesso ずいぶんひどいですね^^;

腸が弱い🦖 @pes_so

.@ts_3156 厳密には違うんですが、IEを使って社内DBにアクセスしてみたところ、そのIEの履歴に　UserID=AdminPesso&PW=AdminPesso123456 というアドレスが残されちゃってるというイメージです…

腸が弱い🦖 @pes_so

@ryuusagi あばばばばばば

腸が弱い🦖 @pes_so

ベンダーハンターポータブル3

つる⛩future pot @turu_crane

@pesso ひどいｗ

ぢゃくそん @_jackson

@pesso それは外ではプレイしたくない…

腸が弱い🦖 @pes_so

@turu_crane 剥ぎとります！

腸が弱い🦖 @pes_so

まぁベンダーが悪いワケではないんだケドあばばばばばば

腸が弱い🦖 @pes_so

@_jackson 狩りにいこうぜ！

H2k @Htok

@pesso あーそういうサイトたまにありますよねー。SSL(https)使ってれば通信経路上は大丈夫(なはず)ではあるんですが……

H2k @Htok

そういえば自分が使ってる証券会社の携帯アプリ→サイト表示の仕組みはそれと同じ(URLのパラメータにID/PASSWORDが入ってる)でなんかちょっとどうなのかなーとずっと前から思ってる。まあ携帯電話なので実用上問題ないかなとは思ってる。

腸が弱い🦖 @pes_so

@Htok SSLではありませんのです…；；　standaloneなシステムなので外部からはアクセスできないのですが、内部からは一般ユーザーにも管理者IDとPWがバレバレであばばばばばば；；

腸が弱い🦖 @pes_so

「httpsでもないのにIDとPWを平文で受け渡すのは設計ミスではない、仕様です！」「な、なんだってー！！！」（←いまここ）

てらさん❄🏂⛄ @teraco

@pesso しゅごい…。

つる⛩future pot @turu_crane

@pesso ええええ……。

てらさん❄🏂⛄ @teraco

うちも仕事関係で「は？頭大丈夫？」的な返答を受けるときあるけど、それが組織を守るための建前で落とし所を探るための第一歩なんだろうな…と一応思うようにしている。が、相手は本気で層思ってたこともあるので困る。

腸が弱い🦖 @pes_so

@turu_crane MMRもびっくりの言い切られっぷりデス！

さいころ @ts_3156

@pesso 履歴とか、人が見てぱっと分かる形で残るのはおかしいと思いますよ。GETメソッドじゃなくてPOSTメソッドを使うようにするだけでも大分変わる気がします。ってか、こんな素人でも分かるミスを犯すところとは縁を切った方が｡笑