アカウント名:
パスワード:
自社サイトにも毎回新規に会員登録して注文だけして入金しないということを毎週繰り返していた人(法人)がいました。幸い入金しないと製造が進まないシステムだったので被害は出ませんでしたが、サポートの人間が本人へ連絡する、製造ラインを抑える等目に見えない被害は出ていました。
異常に気づいたきっかけは、なぜ注文に至らないのかというサイトの施策を見直した時に傾向を調べたら、会員登録時に入力した住所が出鱈目というものが多いことに気づき、そのアカウントを調べたらパスワードが全部同じでした。パスワード以外は全部異なるものだった
パスワードが全部同一のものだとチェックできるの脆弱性だろうに
確か、昔のCaketPHPとか、プロジェクト導入時に自動的に32文字くらいのハッシュを生成して、それをsaltとしてサイト全体でそれ使うような作りだったと思うよ。1~2移行期くらいの記憶なんで今どうか知らんけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
警察に被害届は出さないがISPに報告はした (スコア:5, 興味深い)
自社サイトにも毎回新規に会員登録して注文だけして入金しないということを毎週繰り返していた人(法人)がいました。
幸い入金しないと製造が進まないシステムだったので被害は出ませんでしたが、サポートの人間が本人へ連絡する、製造ラインを抑える等目に見えない被害は出ていました。
異常に気づいたきっかけは、なぜ注文に至らないのかというサイトの施策を見直した時に傾向を調べたら、会員登録時に入力した住所が出鱈目というものが多いことに気づき、そのアカウントを調べたらパスワードが全部同じでした。
パスワード以外は全部異なるものだった
Re:警察に被害届は出さないがISPに報告はした (スコア:0)
パスワードが全部同一のものだとチェックできるの脆弱性だろうに
Re: (スコア:0)
確か、昔のCaketPHPとか、プロジェクト導入時に自動的に32文字くらいのハッシュを生成して、それをsaltとしてサイト全体でそれ使うような作りだったと思うよ。
1~2移行期くらいの記憶なんで今どうか知らんけど。