10/04/08 14:11:08 p1s9B4Bo0
804 名無したちの午後 [sage] 2010/04/08(木) 13:28:12 ID:RwGgJX+r0
メッセ-のホームページに告知来たね-
これ神対応じゃね?
805 名無したちの午後 [sage] 2010/04/08(木) 13:33:46 ID:hpW8PG0I0
何も変わってないと思うんだが
814 名無したちの午後 [sage] 2010/04/08(木) 13:56:40 ID:RwGgJX+r0
あ、ごめん、まだ更新されてなかった
メッセサンオー工作員、
馬鹿なので更新前に書き込んじゃったの巻www
338:名無しさん@十周年
10/04/08 17:27:19 Y2sbYux90
WEBインベンターといい、メッセサンオーといい、どうしてこうもバカばっかりなんだ。
339:名無しさん@十周年
10/04/08 17:35:38 Dai0B8AA0
類は友を呼ぶとか何とか
340:名無しさん@十周年
10/04/08 19:01:45 36mmX6lr0
>>337
結局釣りだったんじゃね?
341:名無しさん@十周年
10/04/08 19:25:52 CtcxN4ru0
釣りにもなってねえ。かまって欲しいだけの残念なヤツだろ。
342:名無しさん@十周年
10/04/08 19:54:51 mqGn/1eh0
インベンターCGIの流出事件が再発であることはあまり
重視されてないのか
343:名無しさん@十周年
10/04/08 20:21:34 1GNbiJUy0
管理プログラムのセキュリティーの向上 2010年04月07日
一度ログインに成功したらクッキーが生きているかぎり、嘘のパスワードでも認証通る。
344:名無しさん@十周年
10/04/08 21:02:40 rGS7dJhf0
>>343
kwsk
345:名無しさん@十周年
10/04/08 21:35:03 OkZFblUx0
>>333
多分「ビットマスク」っていう概念を理解できてないんだと思う。
・・・・・っていうか、その書き方だと正規表現の概念すら理解してないんじゃないのかと思う。
346:名無しさん@十周年
10/04/08 22:06:23 SA1GhZYi0
>>345
理解してないのか、たまたまマッチしたりしないだろう、といういい加減な考えか。
必ず部分一致になってしまう以外に.(ドット)の部分が何にでもマッチしてしまうという問題がある。
全ての顧客に^と$とバックスラッシュを使って正規表現を書かせるのは無理があるし、
ネットワーク単位での指定ができないから、正規表現をそもそも使うべきではない所ではないかと。
347:名無しさん@十周年
10/04/08 22:33:34 1GNbiJUy0
if (!hasCookie) {
autheticate(uid, pass);
} else {
// invalidate();
}
348:名無しさん@十周年
10/04/08 22:49:46 36mmX6lr0
>>347
うは・・
ほんっとに素人が作ってるんだな・・
俺は今すぐには悪用は思いつかないけども
確実に誰かに悪用されるぞこれ
349:名無しさん@十周年
10/04/08 22:55:05 Y4y2GT4B0
>>348
// invalidate(); /* 夏になったら本気出す 2010.04.08 */
350:名無しさん@十周年
10/04/08 22:57:39 jyMMJRHq0
>>333
ip_check.plの書き様があまりにも素人過ぎる。
perlの素人というよりプログラミングの素人という感じだな。
このレベルの人間がプロとして顧客情報管理CGIを
請け負うのだから世の中は恐ろしい。
351:名無しさん@十周年
10/04/08 23:58:38 1GNbiJUy0
パーミッションは604で良いと思います。たぶん。
352:名無しさん@十周年
10/04/08 23:59:58 fPiajbUYO
四年前から指摘されていたのに、たいした改善もなかった。
改善しなくても商売としては成り立ってしまっていた。
353:名無しさん@十周年
10/04/09 00:01:34 eFDf0C9r0
エロゲースレとか、メーカー工作員と思われる奴がウヨウヨいる
354:名無しさん@十周年
10/04/09 00:40:41 5dhRcTXo0
>>346
> 正規表現をそもそも使うべきではない所ではないかと。
「正規表現を使ってる」という発想すらないんじゃないか、このWebインベンターの人。
てーか、requireで他のperlスクリプトインクルードして使おうとするなら、
そのインクルード対象のスクリプトは最後に
1;
とか書いておくのがお約束だと思ってたが違ったっけか。
355:名無しさん@十周年
10/04/09 00:41:51 JITZTXSEP
あげ
356:名無しさん@十周年
10/04/09 00:43:55 arXePVYD0
やっぱり発注する側にもそれなりの知識は必要だと、あらためて思う吉宗であった
てか、ほんとPCとネットは最低限の知識が浸透する前に拙速で普及しちまった感があるなぁ。
357:名無しさん@十周年
10/04/09 00:54:46 1KwJhZii0
>>333
$ip = '^0\.0\.0\.1$';
として通過させるIPアドレスを指定すればいいわけで、そこは突っ込むところじゃないと思う。
けど、メッセサンオーの担当者がそうかくとは思えないが、
358:名無しさん@十周年
10/04/09 00:55:08 1VEfufWw0
ネットは進化しているのに日本人の脳は退化しているからな
359:名無しさん@十周年
10/04/09 01:00:21 EvMYKlce0
>>356
消費者として利用するという点では、
PCとネットに限った話でもないとは思う。
商売として利用するなら、最低限の知識は必要だが、
何をもって最低限とするかの判断や規制が出来てないのが現状ってところか。
他業種なら、国家資格や免許とかあるんだろうけど。
ITは・・・
360:名無しさん@十周年
10/04/09 01:02:24 cPxo91Vd0
>>9
>(株)ウルトラ・ヴァイヴ
名前からして、ここの名簿が流れたら阿鼻叫喚の地獄になるに違いない。
361:名無しさん@十周年
10/04/09 01:13:21 y6K7V6Lf0
>>360
確かに音楽関連の趣味がバレるのは、相当恥ずかしい。
362:名無しさん@十周年
10/04/09 01:16:59 dYU24nWx0
>>347
一度も認証に成功してなくてもCookieさえあれば、通りそうに見えるけど
//って、コメントアウト……?
>>354
それについては>>331のページに「1←←必要」というわからん人にとっては謎の記述が。
>>357
そう書けと言っていないんだから、突っ込む所どころか
脆弱性そのものだと思うんだが……いろんな考え方があるもんだな。
363:名無しさん@十周年
10/04/09 01:18:13 JZkyGu7a0
>>360
URLリンク(www.ultra-net.jp)
364:名無しさん@十周年
10/04/09 01:29:22 ALt0yBnX0
4/3にとっといたリストとちゃうな
古いデータのキャッシュかな
365:名無しさん@十周年
10/04/09 01:45:46 yEet8dea0
以前、外に繋がってない社内ネットワーク限定のシステムってことでお手軽にgetばかりのアプリ組んだら、
プログラムをロクに知らない奴からセキュリティを知らなさ過ぎると貶されたことがあったなぁ
締めるところと緩めるところを勘違いしてるほうがセキュリティ的に問題だろうに…
366:名無しさん@十周年
10/04/09 02:03:49 1VEfufWw0
>>365
おまえからはインベーダーの臭いがするよ
367:名無しさん@十周年
10/04/09 02:10:33 UZdmwFH90
くんくん!
368:名無しさん@十周年
10/04/09 02:35:16 kNCMehkD0
インベーダーの自社サイト、home page builderで作成したページがあるんだよね。
まあ、home page builderが悪いわけじゃないけど、まあ、不安になりますわな。
年齢的に45~55歳ぐらいで、PHPとか、フレームワークとか知らない古い世代の
人なんだろうな。その年代のひとって、セキュリティの概念て、
パスワードとか、LINNUXのパーミッションとか、その程度しか無いんだよね。
googleとか無い時代に育ったんで。 もう、仕事やめて、隠居したほうが良いよ、たぶん。
369:名無しさん@十周年
10/04/09 02:44:32 JZkyGu7a0
>>368
勝手に世代の違いにされてはかなわん。
単にヤツが不勉強な愚か者なだけだろうが。
370:名無しさん@十周年
10/04/09 02:46:13 kNCMehkD0
>>369
あ、ごめん、
言いたかったのは、そのくらいの時代の知識で独立して、勉強しないでコーディングばっかりしてる人って
意味で書きたかったんだ。謝る。
371:名無しさん@十周年
10/04/09 06:44:10 5dhRcTXo0
>>362
> それについては>>331のページに「1←←必要」というわからん人にとっては謎の記述が。
おお、そんなところに書いてあったのか!
・・・・ってそんなところに書かずに元ソースに書いとけって気がするがw
でも、「1;」を書く場所あれじゃ分からんだろ・・・・。
> そう書けと言っていないんだから、突っ込む所どころか
> 脆弱性そのものだと思うんだが……
サンプルでも普通に
> #複数登録するときは、カンマで区切って追加。
> $login_check_ip ='220.122.95.169,200.142.97.169';
とか書いてるしなぁ。
372:名無しさん@十周年
10/04/09 07:01:25 rYfUdTNi0
セキュリティに詳しくない俺にB型H系でうまく例えて
373:名無しさん@十周年
10/04/09 07:06:02 y6K7V6Lf0
>>372
絶対に入れちゃダメ。
と言いながら、濡れマンフルオープン状態。
M字開脚で、ベッドに寝そべって、お前の
角度に合わせて受け入れ態勢万全。B。
でも、入れちゃダメ。
相手が入れちゃダメって言ってる以上、
いくら受け入れ態勢万全であっても、不正
挿入になるから注意。B。
374:名無しさん@十周年
10/04/09 07:21:54 cMABb0e30
>メッセサンオーのスクリプトは2004年の物
2004年でも、GETで平文パスワードはあり得ない話だったが…
375:名無しさん@十周年
10/04/09 07:34:20 EvMYKlce0
>>374
その時代より前のDNAをもった化石が、今回大量に発掘されただけです。
376:名無しさん@十周年
10/04/09 07:46:03 fZzgX3VYO
で結局、Google先生にURL教えたのは誰なんだろね。
やっぱりchromeかツールバーなんだろかね。またはGoogleブックマークかgmailか。
Yahoo!もbingもURL拾ってない以上、グローバルな領域に曝されてたわけでは無さそうだし。
377:名無しさん@十周年
10/04/09 07:51:43 /c4UzTmY0
これこそ魚拓とったんだろうな
378:名無しさん@十周年
10/04/09 10:13:34 FmA6LVFt0
ひさびさにノーガード戦法の極地を見た
あえて、じゃなく、せいいっぱいってところがまたかわいい
379:名無しさん@十周年
10/04/09 10:16:36 slui0Ilr0
問い合わせを受けた時に自社のシステム上で顧客を捜すよりGoogle先生に
聞いた方が早いという斜め上の運用だったんじゃないだろうか
380:名無しさん@十周年
10/04/09 10:22:06 OFAqOtaM0
>パスワード付きのURLを一時的にもホームページで公開しないようにしてください
公開する理由あるのか?