Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
https://www.itmedia.co.jp/news/articles/2112/10/news157.html
2021年12月10日 16時42分 公開
Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。
例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。
セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。
脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」などの声が上がっている。
https://twitter.com/nullpo_head/status/1469152015637151745
(略)
※省略していますので全文はソース元を参照して下さい。
https://twitter.com/5chan_nel (5ch newer account) Javaは言語仕様が綺麗じゃないから嫌。
C#のほうが遥かに良い。 >>2
アホ
後発の方が良い物が出来るに決まってんだろ
C#はjavaとC++から良いとこどりして作った言語だ >>7
アホはお前だ
とっととブースター打って氏ねや >>7
C#はDelphiをC言語風の文法にしたもの。
アーキテクチャはDelphiそのもの。 Javaオンでしか見れないページは糞ってことだねOK log4j はちょっとヤバいな・・・
zlib の脆弱性のパニックに匹敵する範囲 >>9
Delphi の標準ライブラリにあるバグもそのまま移植されてるという笑い話 独自のロガーを実装していた俺様埼京!(別の脆弱性の可能性は認める!) Steamだと無差別攻撃できそうだな
クライアント起動しない方がいいか >>8
俺は未接種だノータリン
無知にもほどがあるわ >>1
数か月前からマイクラの2b2tサーバで悪用されてたやつかw Webアプリの実装調査しないとダメになりそうだな。
入力文字をログ出力なんてしてないと思うけど。 >>12
でもMicrosoftはいいものを買ったよな
Borlandの言語部門なんて 同じかどうか知らないけど今日職場でコードにつまずいてこけそうになったわ
これだったのかな なんでログライブラリがこんなセキュリティホールになるんよ
どんな処理しとん? マイクラはオープンなマルチとかじゃなければ大丈夫なのかな
Steamはかなりまずそうだが >>18
JNDI という、クラスを動的に呼び出す機能がある。 有無 ようわからん
これ使われているのはどのシステムなんですか? これ、とりあえず使ってるライブラリーやら何か全部調べろになるんだろうね。 >>22
delphi のアイデアを思いついて実装した開発者1人が移籍しただけ >>15
stopcovid19.metro.tokyo.lg.jp >>32
サーバサイドのJavaアプリはまず入ってると思っていい。 >>32
Javaのプログラムがログファイルを生成するためのライブラリだから
業務用のシステムではほとんど使ってるんじゃね? ログ出力にコマンド埋め込んで実行できるってこと?
まあ、ログ出力コードがバグってなきや大丈夫だろ >>23
(・∀・;)アーアーキコエナイキコエナイ >>32
ちゃんとした人が開発するJava製システムの9割以上は使ってるくらいの
まず最初に組み込むレベル
この手の使わないとトラブル対応やデバッグなんかの効率が100倍遅くなるレベル windows pc でパンピーが使う java アプレットはセーフ? >>42
サニタイズやってくれてんだろー
って甘えてなけりゃな 5chにlog4jが使われてたら特定の書き込みをしてログに記録された後好きなコード実行し放題か。10年以上よくこの脆弱性見つからなかったな。 エンタープライズはJava!って言い続けるおじさんお疲れ様です >1
> なぜこんな(外部からプログラムを取得する)機能が実装されていたのか
お前らプログラマがコピペ上等でロクに精査してねえからだろ
そもそもライブラリって他人がつくったものだろうに >>42
大規模で並列性が上がるほど飛んできた生データはキッチリ記録したくなる
それにかかるストレージ費用のコストは気にするな! って 起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もあるので、サー >>50
全部スクラッチなんかコストかかり過ぎるわ >>51
逆アセンブルでソースコードに変換できちゃう系は排除されたけど
昔は色々あった 1に貼ってある元記事の手順見るとめちゃくちゃ簡単だな >>63
${jdgi:ldap:// ・・・てログに出るように仕掛けるだけでいいように見えるね。 ワクチンの冷凍庫のコードを抜いたのは>>25だったのか! >>26
JavaとVBからの影響はほぼない。
仮想マシン上で動かすことぐらい。
Delphi使いがC#を書けばわかるが違和感が全然ない。 困るのは企業だけ?
個人レベルで困ったり対策した方がいいことある? >>71
中身がJavaVMとlog4jで動くアプリを使ってないか
アプリの情報表示や公式サイトでチェック java笑、ruby笑
原始人かよwww
ワロタw 俺がネット始めた頃はjavascriptでサイト閲覧者のクリップボードを
取得出来るのがデフォだったぞ、今考えるとMicrosoft頭おかしいだろ >>72
ありがとう
ちょっとよく分からないから賢い人がどうにかしてくれるの待つわ >>75
アウトじゃない?サーバー側から外部に出れないようにしていれば、多少はまし? >>76
githubを見ていると脆弱性自体は10日以上前に公開されていたっぽい。攻撃用ツールが公開されたんで拙くなってきたんかね。 >>79
LDAPサーバにある悪意のあるクラスを取得して実行しちゃうようだから、インターネットにアウトバウンドできなければ、とりあえずセーフなのかな。 >>79
そうか・・う〜。。。
対象バージョンの範囲広いしこれ本当にやばい
https://www.lunasec.io/docs/blog/log4j-zero-day/
Affected Apache log4j Versions?
2.0 <= Apache log4j <= 2.14.1 >>1
正直クライアントが何か言うまで無視か
これでまた儲ける VM言語で、しかも今のサーバーアプリって仮想コンテナ、OS on OS
みたいな仕組みらしいやん、それくぐり抜けるん?
アクロバティックやねえ どうせ麻雀とテトリス以外の用途ねえからchromeでも動くようにしろよ まじかよ、やめてくれよ週明け影響調査させられたらたまったもんじゃない log4jってApacheのログ出力とかにも組み込まれてるよな
割といろんなところで使われてた気がする >>78
どういたしまして
有名所のアプリなら公式サイトのお知らせチェックして、アップデートとかすればいいと思う
マイナーなアプリは必須でなければ
安全確認取れるまで
しばらく利用見合わせるのおすすめ
ちなみにアプリだけでなくてネトゲとか
加入してるネットサービスも同じね 今までのjava案件で100%使ってるわ、知ったこっちゃねーけど Log4j使ってるシステム大量にあるだろな
頑張って これブラウザでJAVA機能オフにするとかそういうレベルの話じゃないんよね?
何をどーしといたらいいです? log4jなんて使われてないシステムの方が少なくね? >>91
自前のソフトはまだいいけど使ってるサードパーティやライブラリは全部調べないとな
ちゃんとしたところだと早々に通達が行くはず 一通り探してlog4j使ってないと結論づけたけど
本当に大丈夫なのかわかんないな
依存ライブラリが使ってるかはdependency tree見ればいいのか? >>92
あれはHTTPのリクエストを契機にSQL実行みたいなやつやわな
これはログの書き込みが契機なわけやから外部というより内部犯行向き?
重要情報がどこかに筒抜けみたいな? >>106
外から操作できるんでね?どっかにツールが公開されてるはず。 SLF4JとLogbackは2021年現在では積極採用しない方が良い
https://blog.kengo-toda.jp/entry/2021/05/31/200807
こんな記事見つけて、ふ〜んと思ったわ
結果論だけど Javaってまーーーだロガーの競争やってんのかい
いい加減言語機能に入れて統一するべき 1に乗ってる例は、Webサーバが普通のWebアクセスのログを1行出力したらアウト、っていう手順だからね
何らかの文字列を記録する処理があって、その文字列にユーザー側から送り付けられる文字列が含まれてたら、それだけで終わる仕組み 今日はたまたまlog4jsの調査をしていた。
こっちは流石に関係ねえだろうなw logbackにまで飛び火すると俺がヤバいから震えてる >>115
slf4jにほぼ統一された
出力ロガー任意に選べるし >>75
アウトだな
実害あるかどうか関係なしに使ってるだけでアウト
テスト工程の脆弱性チェックなんてそんなもん 日系メーカーの「独自のフレームワーク」に多用されてそうな予感
でもって政府系のお友達発注がグダグダでまたもや… 開発なんてとっくにやめて偉そうに講釈垂れてるだけの立場になったので気楽だわw
お前ら開発者には同情してる すげえな。バグじゃなく機能なのか
特定のキーワードを参照してその中に含まれているURLでダウンロードしたclassファイルを勝手にロードする機能が実装されてる
ゲームとかだとチャットとか入力できるものでログに記録させるだけでダウンロードさせてコード実行させれるとか 何でロガーにこんなやっかいな機能があるんだよ。週明けは間違いなく会社が祭になってるわ。勘弁して。 バグじゃなくてわざとなのがタチ悪いな
Log4jの信頼性ダダ下がり こういうのって十分時間を空けてから公開されるもんじゃないの? サイバー兵器として仕込まれた脆弱性というだけのこと
カードは1枚ずつ切って行く >>141
これな
なんでわざわざこんなの仕込んでるんだか >>142
どういう経緯で発覚したんだこれ
タイミング的にも今まで被害が報告されてなかったのもなんか怪しいよな 自称天才プログラマーのお前らに聞くけど、修正版が出るまで何日くらい掛かりそう? >>147
SIでも無くて申し訳ないけど、BigTechならすぐに対応してくれる(じゃないとマジでヤバすぎるので)。
でかいシステムは1ヶ月かかったりするかもね…
根幹だし…。
問題はあまりに広範囲かつどこでも使われてるから、実は使われてましたー!なんてのが平気で起こること。やばいのよ。 >>142
本来はそう。0-dayにならないように慎重なはず。
発見の発端になったPullRequestはこれ
Restrict LDAP access via JNDI by rgoers · Pull Request #608 · apache/logging-log4j2 · GitHub
ttps://github.com/apache/logging-log4j2/pull/608 >>149
悪用済みやで
(中国とかだとビットコイン送信とかさせてるという噂)
なので、みんな必死に対応しとる
あと >>150でPRでバレたと言ったけど、そもそもあまりにバカみたいに簡単に任意コード実行可能な話では!?となったのでバレちゃった感じかもしれん(詳しい背景事情はわからん) アメリカさんへ
こういうのも バックドア と言うんですよね 三国人の反米のカルト国際犯罪テロリストの連中は
これで マジだったか と 理解できたのだろうよ
wwwwww ログ出力とか汎用的すぎてやばいな
日本の基幹サーバも全滅か 発生機構見たが、似たような穴をもってるやつが他にも居そう 上手いこと権限奪取できたら夢のrm -rf も可能? 中国人やロシア人がマージ権限持ってるやつは全部危ないってことじゃんw >>161
今時じゃないプロジェクトが生き残ってるんだよ いやいや、ソース公開なら外部コード実行部を洗い出すだろーがよ!で、そこ潰して再構築。
提供するサービスに不要ならそうするのが普通じゃねーのかよ(笑)
念の為にそこに来た場合の引数テキストに吐き出しておくのがせいぜいだな
コールスタックも必要なら書き出す
つーかマジで世界中のIT技術者の質が落ちてねえか?ソース引っ張ってきて実装するだけとかPG以下だぞ?(笑) まだ、被害報告されてないよね?
コイン発掘とかに使われているとCPU負荷が上がるだけで気づかれにくい? >>163
スターの数とか見てみんな使ってるから大丈夫って判断してるからなー
そもそもバグを踏まない限り他所のライブラリのコードなんて読まないし
リフレクション系のクラスなんて使っているところはザラにあるよね >>161
納品して動いているから厄介なんだろ
納品したことないんだろ 認知のコードってJUMP命令一行でシステムダウンさせられるのか >>168
金融や大手じゃなけりゃ数ある中から狙われる可能性は少ないからな これSIer全滅レベルのヤバいやつじゃね?
業務系のJavaシステム全部該当するだろ。 しかし、log中に置換パターン入れられると便利だとはいえ ldap サーバから
class ファイルまで取り込んで実行できるとは >>163
世の中、お前が思ってるほど暇じゃねーんだわ。
他人の書いたコードなんか眺めて楽しいかよ。
動かしてから確認しろっつうの。
セキュリティが心配なら脆弱性診断受けろっつうの。 ヤバいと言っても変な実行命令が書かれてるソフトをインストしない限り問題ない
ゲーム系はMODで変なのを入れない限り問題ない
ヤバいってのはWindowsアップデートの再起不能バグみたいのを言うんだわ 核ミサイルが世界中で発射されまくる位じゃないと納得せんぞ
この手の話はいつも期待はずれだ だからJavaなんてそもそもマナー違反なんだから
これに懲りたらさっさと捨てろっつーの ま〜た来週、前の会社から教えてくださいの電話がかかってくるのか。
俺の後任で採ったSEがパソコンもロクに使えないレベルの超絶無能らしい。彼に職場PCのJDKを入れ替えるなんて無理だろう。
今度から電話応対1分10000円取るからな。 log4jかよヤベエな
使ってないシステムないんじゃないか >>2
構造体が使えちゃったり、
staticメソッドの継承ができなかったり、
double型の除算がデフォルトで銀行丸めだったり、
Java使いが触ると「えっ?」ってのはある。 仕様らしいけど、じゃあどういう目的でこんな機能を実装してたんだろう。本来意図してたユースケースが知りたいよ。 >>135
JapanのjじゃなくてJavaのjだから全世界共通 >>161
正直ログになに使ってるとかどうでもいいこと気にしない クライアント側で出来る対策はなく
サーバー対応まちってこと? Borlandと言えば、Turbo C++愛用してた log4jサーバにメッセージごりごり複数のプロセスで送ったら
割と簡単にハングアップして解析するのいやになって内製しよう
と提案していま安泰です
あ、log4cxxはつこうてます >>150
オープンソースだから修正内容を誰でも見られて悪用しようと思えばできちゃうってことかな
むつかしいね 誰だ、うちはバージョン1系だから安全ですなんてドヤ顔で言ってるのは 古いlog4j使ってたらきついな
枯れたライブラリだから更新もしてない log4jってlog for javaの略なんだぜ 北朝鮮のサイバー攻撃って日本より発達してるんやで
知らん日本人はびっくりこくやで >>2
C#はメソッド名を大文字で始めるのが受け入れられなかった 時には車輪の再発明した方がコストがかからん事もあるんだな >>191
logback使えよ
ロガー内製とか正気か >>176
これはサーバーサイドのバグ。
クレカ情報預けてるWebサイトがLog4j使ってたら、パスワードとかワンタイムパスワードとか全部すっ飛ばして直接クレカ情報抜かれる、ってこと。 攻撃者が設置したサーバにLog4jがアクセスすることで攻撃コードが読み込まれる、だから、外向き通信を無制限に許可するのを止めたらだいたい止められる。 >>203
logback 良さげやな
良いの教えてくれてサンクスコ 外側へのLDAPアクセスを閉じるだけじゃダメなん?
影響範囲大き過ぎて対応できねえよ >>199
文字列見た人間が全員コロナ感染
重症って書いてあったら重症になるし、死ぬって書いてあったら死ぬ >>208
ゼロデイのうちはそれでだいたい防げるけど、例えば443で待ってるLDAPを攻撃者が立て始めたらHTTPS想定で外行き443を開けてるとこは食らうようになる。
全閉じ出来ないけどライブラリ更新も出来ない、って状況ならIPSかWAF入れて守るしかない。 Webフォームにコマンド入力してサーバーがログ出力してたら実行されるってこと? >>212
UserAgentがだいたいログにでるからWebフォームとか不要だぞ
UserAgent書き換えてGET一発で行ける やばいのは間違いないけれども、システムを利用している会社の担当者が、
システムを開発した会社なり、サーバーを管理している会社なりに問い合わせて
Log4jだけ入れ替える程度で、あっさり解決する可能性も一応あるよね。
ただ担当者がこのニュースを見てうちのシステムJavaじゃなかったっけとか考えずに、
業者が対応してくれるまで放置するケースもかなり多そうなので、
ダメな業者と契約していた会社は大きな被害を被ってご愁傷様かもしれない… >>54
端末がサーバーみたいな動きすることはあるよ
Androidはlog4j積んでないの?
WindowsクライアントでIISが起動しちゃう脆弱性みたいなの 1.x系もヤバいん?
うちの古くさいシステム改修したくないんだけど 実際に被害を受ける攻撃方法を教えてほしい。
特定ポートへの攻撃? >>223
1.x系はJMS Appender以外Lookup機能がないからJMS Appender使ってなければ本件はセーフだけど、
1.x系はそもそも2年前のCVE-2019-17571でアウトだぞ
>>224
UserAgentを変更するだけで、アクセスしたサーバがrm -rf /されるブラウザが出来上がるぞ
証拠残すと自分の人生も消えるが >>2
インターフェイスの実装(ミックスイン)とか、switch式とか、
最近のC#ってJavaの後追いをしてない? >>226
UserAgentをログに書き出していると、ハッカーがHTTPクライアントを自作してrm -rfをログに書き出せるのは分かる。
でも、それが実行されちゃうっていうのは、どういう仕組なの?バグにしても分からないわ。 何でこんな脆弱性というか機能あるんだろうな。怖過ぎるわ。 ゲームなんかでも端末アプリ上でlog4j動いてるのはありそうだよね
不正ユーザーのアカウント削除にも使えそうだし >>229
生き物が生まれた時点から死に向かっているのと同じくらい当たり前のことだよ どんぐらいヤバいのかわからん
これが動くってこと?
exec("rm -rf */*"); >>229
ログ出力ライブラリの中に通信機能を持ってるとは思わないよな 影響受ける製品まとめきれるのかこれ?
各ベンダーも調査中やしどうしろと? >>232
Java使ってるほぼ全てのプロダクトに任意のコード実行できる
rmどころの話じゃない
そこからDDoSとかもやりたい放題 特定のオンラインショップ利用したらクレカ不正利用続出とかは
これのせいかもしれんな… >>235
であればロギングサーバは外部に接続しに行けないように
VPCなりファイアウォールで囲っておくべきだし
そうしてれば本件の攻撃を受けても何も起きない訳だが、
そこまでちゃんとやってる現場の方がレアよなぁ多分 >>235
ディスクが死んだ時や侵入された際にログの喪失や改ざんを防ぐために
別ノードにログを記録する機能はJavaより昔からある >>239
あれはEC-CUBEのXSS脆弱性放置がほとんど。
入力文字列全部取られるからセキュリティコード保管するしない関係ないし
店としては正常に取引できてるから気付きづらい。 パスワードをそのままログに書き出すなんてことはしないだろうけど
IDなんかはやってそう 20年以上も放置され続けて来たのかよ
プログラマーも馬鹿しかいないんだな どこの誰かも分からないユーザーが与えたテンプレート文字列を評価・実行できるようにしてあるのが頭おかしい設計
普通はそんなことしないでしょ
OWASPでも脆弱性になる原因として挙げられてるぞ
Unsafe use of Reflection
https://owasp.org/www-community/vulnerabilities/Unsafe_use_of_Reflection slf4jだから実装を置き換えるだけ
影響はlog4jみたいな古いライブラリを使いっぱなしのメンテしてないシステムだけ >>244
インフラとか諸々多面的にペストプラクティスを遵守してれば
問題にはならない話ではある
ただPGのせい、にして片付く話では無い >>249
外部サービスとインターネット経由で連携するのが自然になり、サーバーレスでIPが可変になるのが自然になった世の中だから、アウトバウンドの通信に制限をかけるのはかなり難しくなってるよ。
ただのログライブラリにLDAPサーバーとの通信機能なんて付けてるのは明らかにおかしいわ。 >>250
明示的に必要な通信以外は
デフォルトDENYであるべきで。
iaasにk8sとかコンテナオーケストレーションが
当たり前になった今だからこそやり易い事かと思うよ 「付いてるのはおかしい」の考え方では防げない事で、
「何が付いてるかわからないからALLOW設定を厳密に制御」の考え方なら防げたわけで。
これは仕様がおかしかった話だけど、
悪意あるソフトウェアが混入される可能性は
全てのユニットについて考慮しないといけない時代なんだと思うよ。
well-architectedの考え方ってその辺すごく重要視されてる >>7
新しいもののほうが優れていることは多いが、それが必ずしも普及するわけではないんですぜ旦那。 こんなに訳がわからんスレ初めてだわ
何言ってんだかさっぱりわかんねえ まじか
iCloudもMinecraftいいがSteamは困る >>36
JavaとJavaScriptを混同してるバカが久しぶりに来たか? >>254
その「 何言ってんだかさっぱりわかんねえ」奴が年功序列で上がれて
企業の上層部で決裁権を振りかざしているのが中世国家ジャップランドなんだわ。 >>259
手を動かす労働を他に押し付けるのを労働だと思ってるやつが上に行く Javaの無料文化面倒だよな。
悪貨が良貨を駆逐してる。 このニュース知らずに偶然今日休み取ったわい勝ち組
誰かが検証してあかん出来てしもたってメールが飛んでたのは見てしまったけど >>263
Javaって有料に向かってるんじゃなかったっけ?
だから今は代替えなににするかって魚竿してるはず 問題のコードを書いたのはWoonsan Ko
ハングルが母国語みたいですね。 致命的なバグにもいろいろあるけれど、今回のは最悪の場合、会社の命が断たれるタイプの「致命」なんで、コロナの話とかどうでもいいんで、テレビのニュースのトップにしてほしい。
それに、スマートスピーカーに侵入されて盗聴されたりする可能性もないとは言えないし、個人でも普通に関係のある人はいそう。
しかし、21世紀に入ってから最悪のバグかもしれないのに、世間の反応が薄い。薄すぎる。
ここ6年以内に新しいシステムを導入した会社の担当者は、急いでLog4j2を使ってないか確認しろと、何のトラブルもなくても今すぐ確認しろと、誰か教えてあげてください。
ひろゆきもどうでもいいことを論破してる暇があったら、こういう時にがんばれと… 興味本位でバグを付く輩がいるから、そうならないように情報絞ってんじゃないかね、好意的に考えれば
単にどんくらいやばいのか、わからんだけだとは思うけど 情報絞ってなんかいない。
あまりにイージー過ぎてヤバすぎる。
もしIT系エンジニアで理解できていないなら転職すべきレベル。 うちんとこはもうこの話題で持ちきりだったわ
さすがに理解してないアホはいなかったけど
Javaの案件は今はほぼ無いけど既存システム全部チェックする様に即通達出た とりあえずlookupは使ってないから起動オプションの変更で対応することにしたわ
まあそもそも外向けの通信は閉じてるサーバがほとんどで即日対応は少ないんだけど脆弱性の内容が理解できないジジイ対応に疲れた >>276
乙乙でした
システムよりジジィ対応にカロリー使われるの
ホント勘弁よなぁ まぁでもソフトウェア仕事ってそこにカロリーを使うのが本質なのかもしれんよ。
なんも知らんジジイとかど素人さんとか。
プロしかあいてしないのは、むしろアマチュアの遊びといっていいかも >>280
いわゆるIT奴隷はバカな客やら上司に説明しないといけない 詳しいことはよく分からん一般人は何をしておくのがいい?
適当につかってるソフトにも脆弱性があるかも知れんのよね >>281
転職せえよそんなとこ
まともで稼ぎも良い職場いくらでもあるのに >>283
お前は何も分かってない
SIerの仕事の方が内製の仕事より圧倒的に給与がよい >>271
ひろゆきが口にすると自身の関与を疑われそう こんな誰得な機能をなぜわざわざ盛り込んだのか
よく見つけたな iCloudはアプリの方だよね?
サーバ側は問題ないとは思うけど
まさかJavaで書いてあったとは
ネイティブでマルチプラットフォーム対応してないのは怪しい可能性があるってことかな スチームとかマイクラのもっさり感はJavaっぽいなとは思ってたけど
そういうアプリって結構あるよね
アレとかアレとか >>85
この脆弱性発見したのがアリババだからむしろ感謝すべき ボタンとかUIの形状にもJavaクライアントだとクセがあるし分かりやすい JAV 日本エロ動画
ジャパニーズアダルトビデオの略 >>301
マジですか
ストラッツって使ってるとこ多いのかな ■ このスレッドは過去ログ倉庫に格納されています