2020-12-08

削除URL踏んだ話について

https://qiita.com/HirotoKagotani/items/181052eb85b686783806

なんか微妙ブコメちょいちょいある…

なんでGET

まぁわかる。糞実装すぎる。でも引き継いだ人に言うことではないでしょう。

POSTだと事故

少なくとも今回のURL補完&直接アクセス問題は起こらなかった。

規模的にも会社内で使っているだけのシステムから別にPOSTに直すだけで問題解決する。

しかブラウザ機能でPOST再送も可能だけど、一年に一回しか実行しないURLのPOST再送が、登録データが溜まった頃に発生してしまうなんてシチュエーションはどだい考えつかない。一年間も削除完了しましたページのタブを温存し続けるとか?

たまたまそのタブをクリックしてPOST再送しますか?のダイアログに「はい」するの?その発生ケース本気で言ってる?ありえないだろ…

コンテキスト無視して一般論でドヤってんじゃねーよ。一般公開するシステムなら当然POSTにすれば問題解決なんて言語道断だが、システムがなんのためにどこで誰に寄って使われるかぐらい把握しろよ。杓子定規すぎるだろ

CSRF

会社内でしか動いてないシステムハッキングもクソもなく、LAN内に入られた時点でうんこセキュリティです。

なので考慮する必要ない。

社内だから適当に作って〜って言われたら、気を抜いちゃう自分も似たいようなの作ってしまたかもしれない。

人類が最低限、書き込み処理はPOST(or PUT DELETE)、読み込み系はGET、みたいなのだけでも切り分けておけば、平和になりそうだけど、人類基本的に愚かなので、悲しい事件は減らないだろうな

  • CSRFは社外からでも攻撃されるよー。 攻撃フォームを社外のどこかに設置しておき、ログイン状態の管理者にそれを踏ませればOK。 ま、URLとその機能を知っていないと、攻撃フォームを作...

    • CSRFは社外からでも攻撃されるよ はぁ?どうやって社外から攻撃URLを知ることができるんですかね~? どういう前提で攻撃が発生することを想定しているんですかー?それってあなたの...

      • わかる 核弾頭発射が二人同時にカギを回すってプロセスになってるのを 二人がグルで野心を抱いたらどうすんのって屁理屈こねるのに似てる

      • 会社に恨みをもっている元(あるいは現)社員

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん