よい子のみんな!自社のシステムをたっかいお金払ってISO取得してるでっかい会社に依頼したからといって安心しちゃいけないよ!ヤツらは平気でサーバーへのPWを平文で受け渡したりするよ!
2010-12-01 19:11:49自社システムいじってたら、半年以上前に修正してもらったPWを平文で受け渡すバグの他に、何故かユーザー権限でログインしてるのにサーバに平文で管理者ID & PWを受け渡すバグを発見して残業フラグがびんびん立っている…
2010-12-01 19:14:27結構大手ですらこんな感じのシステムへーきで作ったりしてくるので、世の中の会社のひとは、セキュリティに「そこそこ」程度でいいので詳しい人をひとりつけて、そのシステムをチェックさせたほうがいいデスヨ……
2010-12-01 19:15:19システム会社に電話してみた:私「すみません、半年ちょい前に改修していただいた、PWを平文で送信して履歴に残す件ですけど、ユーザー権限でログインしてるのに管理者権限のIDとPWを平文で受渡してるみたいなんですが…」先方「え、そんなことないですよ、改修しましたしー」
2010-12-01 19:16:43.@ts_3156 厳密には違うんですが、IEを使って社内DBにアクセスしてみたところ、そのIEの履歴に UserID=AdminPesso&PW=AdminPesso123456 というアドレスが残されちゃってるというイメージです…
2010-12-01 19:26:27そういえば自分が使ってる証券会社の携帯アプリ→サイト表示の仕組みはそれと同じ(URLのパラメータにID/PASSWORDが入ってる)でなんかちょっとどうなのかなーとずっと前から思ってる。まあ携帯電話なので実用上問題ないかなとは思ってる。
2010-12-01 19:46:11@Htok SSLではありませんのです…;; standaloneなシステムなので外部からはアクセスできないのですが、内部からは一般ユーザーにも管理者IDとPWがバレバレであばばばばばば;;
2010-12-01 19:46:30うちも仕事関係で「は?頭大丈夫?」的な返答を受けるときあるけど、それが組織を守るための建前で落とし所を探るための第一歩なんだろうな…と一応思うようにしている。が、相手は本気で層思ってたこともあるので困る。
2010-12-01 19:58:24@pesso 履歴とか、人が見てぱっと分かる形で残るのはおかしいと思いますよ。GETメソッドじゃなくてPOSTメソッドを使うようにするだけでも大分変わる気がします。ってか、こんな素人でも分かるミスを犯すところとは縁を切った方が。笑
2010-12-01 20:01:21