2010-04-04

http://anond.hatelabo.jp/20100404012659

もちろんセッション化による対策が本筋だろうが、

一日二日でできるようなことじゃない。

どんなにセッション周りの処理を書き慣れてる人でも1週間ぐらいはかかるのでは?

オレにやらせたら少なく見積もっても一ヶ月は平気でかかる。(元ソースの規模にもよるが、たぶん今回のはそれほど大きなものではないだろう)

ソースを修正せずになにかをやるとしたらその程度しか対策がないんじゃないか。

記事への反応 -
  • メッセサンオーの「エロゲ購入者リスト漏れ事件」での教訓だな。 WEBインベンターのゴミのようなCGIシステムとか、メッセサンオーの無知ってのもあるにしても、 「実際にGoogleのロボッ...

    • refererじゃないの?  あくまで推測だが、「仕事中にcgiにアクセス」「そのウィンドウ上でググるなり何らかのgoogleのサーバにアクセスする」「google鯖のログにURLが保存される」「googleの...

      • しかしなぁ、 世の中には、パスワード一覧をEXCELファイルで作っちゃって、まちがってメールで関連先に送付しちゃって大問題っていう 『インターネット企業』もあるわけだし・・・ そ...

        • もちろんセッション化による対策が本筋だろうが、 一日二日でできるようなことじゃない。 セッション周りの処理を書き慣れてる人でも1週間ぐらいはかかるのでは? オレにやらせた...

          • セッション化なんてプロなら1日2日だよ。 それこそ今話題のP系言語とかなら、作らなくても、下手すりゃフレームワークがもっとるわ。

            • あー、今はそうなのか。 フレームワークを使えばいいのね。楽だなあ。 でも既存ソースはフレームワークなんか使ってないだろう。

              • そろってるっつーかなんつーか・・・ ログイン周りなんて、フレームワーク使わなくても、4時間かかるかどうかだよ・・・セッション周り慣れている人という前提なら。   問題なの...

                • PCソフト販売会社って「WEB関係の知識を持っているべき会社」なのか? 本質はただの小売店だからそういう知識がほとんどないんだろう。 まあWEB上のインターフェースを提供している時...

                  • (こう思ってるかしらんが) 発注者側だからしらなくてもいいとか言う企業として無能だと言わざるを得ない。 こんなんサイト自体を作成する事は数百万とか最低限かかるっつーのに ...

                    • たぶん普通の(多くの一般的小売店)企業は、 「こっちが金払ってるんだから、ちゃんとやってくれるだろう。システム内部までこっちが面倒みなくていいよね」って思ってると思うぞ...

                      • 「こっちが金払ってるんだから、ちゃんとやってくれるだろう。システム内部までいちいちチェックしなくていいよね」って思ってると思うぞ。 「こっちが金払ってるんだから、ちゃ...

                        • これはレイプされるのは女にも責任があるって言ってるのと同じだ! ま、責任あってもいいんだけどさ。

                          • この場合、レイプされたのは、個人情報をさらされた購入者で 犯行を犯したのは あくまでも、PCソフト販売店な で、犯行を犯す事になった原因を作ったのがWebシステムのベンダー

                          • 文系って日本の学術誌に論文載るより新書○万部売った方がステータスなんじゃないの? 欧米誌に投稿するほどの根性ある人滅多にいないし

                        • ごく簡単な例で言えば、 レストランが 食肉を買いました。あきらかに品質がおかしかったけど、店で出したら食中毒になりました。 おれは肉を買っただけだから問題ない。 というよ...

                          • まさにそこがポイントだと思うんだけど すくなくとも、まっとうな、第3者機関ならこれを良しとするひとは少ないと思うけど。 ほとんどの零細な小売業者ってのは決して、WEBリテラ...

                            • 気がついたら、ホールとか、気がついたらワームとか、気がついたらトロイ ってのは、この業界 少なくないからさ、それ自身は 仕方が無いと思うんだよ。 事故はしょうがない。 で...

                          • 今回のメッセサンオーの件は あきらかに品質がおかしかったけど これには該当しないんじゃないか?品質がおかしかったのは確かだが「明らかに」の部分が成り立たない。 そりゃあ...

                            • 残念だけど、SQLインジェクションとか、セッションキーのコリジョンとかだったら、まだわかるが・・・ URLをちょっと変えただけで他人のデーターがみえちゃいますとか、どんだけだよ...

    • ログインしないグループウェアとかあるの?

    • Chromeに変えたばっかりなんだけど 他におすすめのウェブブラウザってある? Firefox 3使ってたけど糞重くてやってられない 高速化の類は一通り試してみたものの 一時凌ぎにしかならない...

    • 嘘つくなよ、そんなの報告しねーよ。 パケット見ててもgoogleなんてに送ってないし、 しったか乙

      • そりゃ、「Googleに送信しない」設定だったら送らないわな。 デフォルトは「送る」設定だろうけどw

        • 今設定みたけど、どこにあるのかわからなかった。 もし知ってたら設定を教えてください。

          • インストール時に聞かれるはず、統計情報を送るかどうか ツールーマーク>オプション>プライバシー>使用統計データーや障害レポートをうんぬん。 コレ以外には、設定はないし、そ...

      • GoogleChromeが漏らす以外、どうやって今回の流出が起きるんだ? 元々のcgiの作りが駄目ってのはあるけど、社内のみで運用している限り外に洩れようのない情報なんだが。

    • その論理だとIE使うとBingに筒抜けということにならないか?

    • 普通にURLにユーザーIDとパスワードをgetリクエストに埋め込むなんてやり方はしねーよ。 2000年前後ですらそんなクソな事をしてるサイトを作ったら普通に馬鹿だと思われるわ。 別にchrome...

      • 別にchromeなんてどこでも使われてるが、他のサイトの会員情報が筒抜けになってないだろ? そりゃあ、普通のサイトは「ログインIDやパスワードをURLに埋め込んだりしない」から URLをG...

    • バグが見つかるからデバッグしちゃダメ!

    • IEやFF使っていても、 アレクサのプラグインとかOrbitのプラグインとか、URLだけなら、外出ししそうなものは山ほどあるだろと? プラグイン含めてURL履歴外出しを疑い始めたらキリがない...

      • 一番考えられるのはURLをメーラーからコピペして検索しただろ。 メールにURLが記載されていたとして、それをクリックしてそのURLを表示すればいいだけなのにわざわざURLをGoogleで検索...

    • 元増田だが xucker IE使っても、手動でURLを検索エンジンに登録できるからな。それに他所からリンク貼られていない孤立したURLは、インデックスなかなかされない。普通に企業内でリン...

      • でも「Chromeで使用統計データと障害レポートを送信する設定にしてるとGoogleにアクセスしたURLを逐一送信する」っていうのは嘘だよね? Google Chrome のプライバシーに関するお知らせ Goo...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん