【FE】7payの脆弱性、基本情報技術者試験に同様の問題が
■ このスレッドは過去ログ倉庫に格納されています
基本情報技術者平成28年春期
午前問40
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。
ア・あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。
イ・あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
ウ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。
エ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
https://www.fe-siken.com/kakomon/28_haru/q40.html
7payのようなパスワード再設定方法は、以前から基本情報技術者試験で不正解の典型として挙げられてます
https://twitter.com/aka_pencil/status/1146752497400205312
https://twitter.com/5chan_nel (5ch newer account) 誰も止める人や進言する人はいなかったのかな
なんでここまでの酷いことが放置されてサービス開始までいっちゃうんだろう 何の役にも立たない糞みたいな常識テストだと思ってたが
常識がない奴には為になる知識なんだな その名の通り、基本的なことすぎるんで過去問にあるわな 情報処理機構の中の人だってWinnyつこうてるんですよ どこの会社なんだ?
まあ結局外部設計すらレビューしてないセブン側に帰結するか セブンのエンジニアは基本情報レベルてすらないのかよ IT後進国日本 韓国よりはるかに遅れてるのに韓国に制裁すれば10倍返しになるのは目に見ええてるわな バーコード決済を煽る報道といい
このハッキングの仕込みとしか思えないな。 穴だらけになるの当然な工数でぶん投げたんだろ
投げた奴クビだ 裁判になっても
会社側が負けるよ。
酷いシステムだ。
素人以下。
こんなシステムを作ったSI企業名どこだ?
公表するべき。 これでよく銀行やろうとか思ったな
二度とセブンには近づかんわ へぇ〜基本でも今そんなのでるのか
まぁこの時代だから当然なんだろうが >>19
そうゆうことになるなw基本的なことを忘れているわw 「基本情報?弊社のシステムは高度なシステムなので関係ない(ドヤァ)」 普通は系列のシステム会社が元請けして、そこがプロジェクトを組むわなあ。
監査やった会社は言い訳立たないな この間9歳で合格してた子がいたな
最年少記録更新だか何だかで セキュリティ基礎知識がないやつが
決定権もってたんだろうな。
そいつが思いつく利便性
でかつ工数圧縮を満たす仕様だったんだろ アとエは論外だな。
今日日、可逆暗号で持たないだろ ア、の会社が未だにある
パスワード平文で送ってくんなや 中国人の潜入スパイがセキュリティ周り設計したんだろ 基本情報技術者でも情報セキュリティは必須問題だからな こんな一般の人でも気付くようなやり方ってあり得ないんだよね・・ たしか一番最初にpayで問題があったときはパスワードを何度でも入力できたんだっけ 昔の試験なら午前でコンピュータに関係ない選択問題で満点とって午後は辛うじてFORTRAN知ってたから勉強せず受かったな この問題って物議を醸したやつだよな
そもそもパスワードリマインダーなんて実装すべきじゃないとクレームが付いた >>42
大した圧縮にもならんだろ
設計レビュー通ったんだかわからんけど、
実装した技術者も、これまずいよなとか言いながら実装してそうだな。多国籍とかでコミュニケーション悪いプロジェクトに有りがち。 被害金を入金のあった店舗に負担させたら犯罪グループとのつながりも考えるざる得ない クレジットカードのハード的にはICだがソフト面では磁気が主流
技術者には薄給でサービス残業で睡眠時間を差し出させ
必要な勉強はさえすべて自腹で払え
そんなIT後進国にはふさわしいセキュリティレベルで作りましたよ いや、新しいメアドやとおかしいな、今朝のニュースだと利用したメッセージが届いたとかいってたしな
まさかの被害者まで仕込みなんて事はないだろうし、もし仕込みなら報道機関として逆に大問題やしな だめだコリア
シロウトでも、一般常識で正答を引き出せそうな初歩の初歩じゃないか 世間での実際情報セキュリティのレベルなんてこんなもんなんだよ
だから国策として情報処理安全確保支援士とかができたんだよ >>68
メールアドレスの確認でよくあるべ。
2時間以内に下記URLにアクセスしてけろって。
だいたいくそ長い英数字がついてるべ 日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳。
法律エッセイとして異例のベストセールスを続けた名著を
手軽に読みやすく。短編×100話なので気軽に読めます。
法窓夜話 私家版
https://twitter.com/0Idm3vd9TYmFDaQ/status/1144182365134061568
(直リンNGのためtwitterが開きます)ngc
https://twitter.com/5chan_nel (5ch newer account) だって、そんなん「ITエンジニア」が考える事じゃない。
ITエンジニアは仕様書の通りにシステム組むのが仕事なんで、そのシステムに穴があるのは仕様書を書いたやつの責任、あとそのシステムで大損こいたのはユーザーが馬鹿だから。
つまり、ITエンジニアはなんも悪くない オ. パスワードを忘れたボタンをクリックしたら、現パスワードを表示する キャッシュレスでキャッシュレス、笑えない
最強パターンはこれ↓
財布に千円、カード無し、
これなら全損でも1000円ポッキリ、
財布は100均な >>68
他人のパスワード変更画面のURLにアクセスできたらまずいだろ?だから、普通は短い期間に一回だけ有効なながーいURLを発行してアクセスさせる >>68
パラメータがランダム文字列ってこと
いわゆるハッシュ >>70
パスワードのリセットを別のメルアドに送らせてただけで、
メルアドの変更手続きしたわけではないからな。
そりゃ利用履歴は登録メルアドにくるだろ? お粗末と言えばお粗末だが、パスワードなんかの問題あらへんやろ(^。^)y-.。o○
7アプリがクレジットカード情報をどっかに送信しておるんやろ
クレジットカードも止めないとあかんで >>77
それはエンジニアとは言わんな
ドカタやでそれ
エンジニアはちゃんと上から下まで把握しとるお人のことです >>74
この問題の言ってる推測者はパスワードを変更したいメール受信者以外を指してるってことかな オ. パスワードを忘れたユーザーの利便性を考えて、新たに入力したメールアドレスにパスワード変更URLを送付する 信じられないだろうけど大手でもこの程度のリテラシーだよ 外国では、学位がないとITエンジニアになれないが、日本は学歴経験不問 みんな期待してるのは
セブンが保障するか
巻き返しで大幅キャンペーンやるか
なだけ
あとでセブンが消えようがどうでもいい
paypay騒ぎの後でクレカすぐ登録するのが
馬鹿なだけ >>83
あーランダム文字列の総称を推測困難って言ってるのかわかった >>72
知識がないならないで、経産省ガイドラインに沿っとくだけでも
こんなことにはならなかったろうにな。
「お役所の時代遅れなガイドラインより俺らのほうが現実わかってるし〜」みたいな
ノリだったのかな。 すべて不正解だけどな
電子メールは覗き見られる可能性があるから、金融サイトはパスワードを忘れたら郵送で再登録するのが正しい こういう当たり前のサービス問題って意味あるのかと思ってたけど、現実にあるんだもんな ■ このスレッドは過去ログ倉庫に格納されています