長崎県電子県庁システムに認証周りの脆弱性 5
ストーリー by GetSet
認証情報をハードコードしちゃダメでしょ 部門より
認証情報をハードコードしちゃダメでしょ 部門より
slashdotted曰く、"IT Proの記事によると、以前/.J でも取り上げられたことのある、長崎県電子県庁システムに、2つのセキュリティホールが見つかったことを、JPCERT/CC、及びIPAが明らかにした。詳細情報は、以下のとおり。
- JVN#836B21C0:認証処理に関する脆弱性
- JVN#6CA72ADB:認証情報に関する脆弱性
オープンソースって (スコア:2, おもしろおかしい)
高木さんが指摘してくれる……って思われちゃ困ります。
Re:オープンソースって (スコア:0)
http://www.ipa.go.jp/security/vuln/documents/2005/JVN_6CA72ADB_nagasaki.html
による脆弱性を指摘されたということは、オープンなソースをちゃんとご覧になったということですよね。
(私ならわざわざダウンロードしてソース読んだりしない)
Re:オープンソースって (スコア:0)
この実装の意図はどうあれ、このシステムの開発者(長崎県?)は、
これを採用したシステムにある程度の権限者として
ログインできるようになってたわけだろ?
それを「脆弱性」として扱うのは…違わないか?
# 右へ倣えのAC
Re:オープンソースって (スコア:1, 参考になる)
長崎県の言い分はこうなっていますね。
Re:オープンソースって (スコア:0)
知らずに導入した側の人(いるのかどうか知りませんが)にとっては立派な脆弱性でしょう。