記者登録の件があったため、ログインの方法も確認してみます。
(1) ログインIDとパスワードを入力し、ログインボタンを押します。
確認したいだけなので、ありえないと思われるログインIDとパスワードを入力し試してみます。
(2) 今回は最初から通信ログを確認してみました。
えっと~平文(暗号化されていない文)でログインIDとパスワードが流れていますね。トホホ。 ※現在は修正されています
セッションIDが以前とはなんか違う。サーバーの構成変えました?それともこれが本来の姿???
あっ、ごめんなさい。ログインできてしまいました。
ありえないと思ってたログインID、パスワードで試したのにorz
(開発者のテスト用だったのかな?)
ごめんなさい。ごめんなさい。
私自身、迷惑をかけてるかもしれず申し訳ないのですが・・・
修正されるまでログインは控えたほうがいいかもしれません。 ※現在は修正されています
その他若干気になったこと・・・
現在のシステムの方法だとログインしていようがしていまいが関係なくセッションを使うみたいです。
(現在の方式でSSLへの切り替えをしている限り必要なことではあると思うが・・)
サーバーに無駄な負荷をかけてもったいないような気がします。
セッションIDの付加のされ方が変わったことと合わせて、付け焼刃でSSL対応にしたようにも見えるけど、そんなことはないよね?
逆に今の姿が予定通りだったとするとちゃんとしてないのにとりあえず公開したってことになるからそれはそれでまずいか・・・。
以前のシステムもいまいちな点が多かったけど、セキュリティに関する限りは以前のほうがちゃんと考えられてたように感じます。
がんばってね♡
2007/04/12 19:20 追記
現在確認したところ直っているようです。お疲れ様でした。
2007/04/16 一部修正
もうそろそろネタ切れ⇒放置予定なので見直中です。注釈を追加しました。
(1) ログインIDとパスワードを入力し、ログインボタンを押します。
確認したいだけなので、ありえないと思われるログインIDとパスワードを入力し試してみます。
(2) 今回は最初から通信ログを確認してみました。
えっと~平文(暗号化されていない文)でログインIDとパスワードが流れていますね。トホホ。 ※現在は修正されています
セッションIDが以前とはなんか違う。サーバーの構成変えました?それともこれが本来の姿???
あっ、ごめんなさい。ログインできてしまいました。
ありえないと思ってたログインID、パスワードで試したのにorz
(開発者のテスト用だったのかな?)
ごめんなさい。ごめんなさい。
私自身、迷惑をかけてるかもしれず申し訳ないのですが・・・
修正されるまでログインは控えたほうがいいかもしれません。 ※現在は修正されています
その他若干気になったこと・・・
現在のシステムの方法だとログインしていようがしていまいが関係なくセッションを使うみたいです。
(現在の方式でSSLへの切り替えをしている限り必要なことではあると思うが・・)
サーバーに無駄な負荷をかけてもったいないような気がします。
セッションIDの付加のされ方が変わったことと合わせて、付け焼刃でSSL対応にしたようにも見えるけど、そんなことはないよね?
逆に今の姿が予定通りだったとするとちゃんとしてないのにとりあえず公開したってことになるからそれはそれでまずいか・・・。
以前のシステムもいまいちな点が多かったけど、セキュリティに関する限りは以前のほうがちゃんと考えられてたように感じます。
がんばってね♡
2007/04/12 19:20 追記
現在確認したところ直っているようです。お疲れ様でした。
2007/04/16 一部修正
もうそろそろネタ切れ⇒放置予定なので見直中です。注釈を追加しました。
俺も復活するか。
どんなものかやってみようとIDだけは登録してたのでモチベーション上がったついでにエントリしてみただけ。
長くは続かないかも・・・