このページに関してのお問い合わせはこちら
Be-2ちゃんねる 人柱募集中。。。Part9
ツイート
835
:
動け動けウゴウゴ2ちゃんねる
:
2010/12/12(日) 17:53:44 ID:lEgCOEH80
甜菜
【速報】Be ch森無限生成復活キタ━━━━━━(゚∀゚)━━━━━━ !!
http://hato.2ch.net/test/read.cgi/news/1292140478/
be所有者のアカウント メアド ip パスが公開される 速攻パス変えとけ
http://hato.2ch.net/test/read.cgi/news/1292142465/
【news】ニュース速報運用情報676【ν】
http://qb5.2ch.net/test/read.cgi/operate/1292071656/757
757 名前:動け動けウゴウゴ2ちゃんねる[sage] 投稿日:2010/12/12(日) 17:27:06 ID:v8NZG3VR0
BE鯖の抱える表面的な問題点
・Cookieが一時的なものではなく、パスワードを変えない限り半永久的に使えてしまう
・Cookie中のデータが暗号化されていない。メールアドレスは平文のまま、
認証コードの生成式も流出しているのでパスワードの逆算も可能
・サーバーサイドスクリプトが穴だらけでXSSの温床
根本的な問題点
・Cookie「のみ」で認証していること
例えばIPアドレスも含めて認証するようにすれば第三者が成りすますことは困難になる
そこら辺はここでも指摘されている
http://blog.livedoor.jp/dankogai/archives/50959103.html
Cookieのみで認証する仕組みを変えれば、前述した表面的な問題点はある程度無視できる
XSSを根絶やしにするよりもよっぽど現実的な策であるはず