アカウント名:
パスワード:
脆弱性をつく手口を公表してしまうのは確かによくない。でも今回のシステムは脆弱性だなんてレベルではない。予約は自由にできるし、他人の予約はキャンセルできるし、他人の予約を比較的簡単に見ることもできる。高校生でももっとまともに作れるだろうというシステム。
抗議すべきはこんなものを開発して納入した業者とこんなものを受け取った国側の担当者だよ。
予約用パスワードを券番号と一緒に発行しておけば良かっただけだろうに。脆弱性ではないというのは認識がおかしい。間違いなく仕様に盛り込まれた脆弱性である。
一応誕生日がパスワード相当なんでしょう個人に送られる予約券番号を知るのは難しいし、適当に予約券番号を入れてそれがじつざいし、当てずっぽうに誕生日を入れて当たる確率は低いし
仕様がクソで脆弱性があるってのは確かだが、対応として「予約用パスワードを券番号と一緒に発行しておけば良かっただけ」ってのは無茶苦茶
システムができたのは後だからパスワードを先に付けておくのは無理ランダムにパスワードをつけるとすれば予約番号との紐づけが必要で、そんな自治体ごとのデータを取り込めるなら今回だって苦労してないわけで無理あらかじめパスワードをつけとくなんて言うのは予約番号を長くするのと同じでパスワードとして意味をなさない。長いチェックデジット(予約番号から計算できる)のほうがまだまし(DB連携の必要がない)だな
「使うかどうかもわからないけどパスワード付けとくか」では解決できないね後知恵でいえば* 住所コード相当のものも番号に入れておけばよかった* 番号自体は住所コードと連番から規則で生成できるものにしておき、生成ソフトを自治体に配布する* チェックデジット等を使って有効な番号の密度を十分に下げておくぐらいはやっておけばよかったと思う
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
抗議すべき対象はシステム開発者 (スコア:0)
脆弱性をつく手口を公表してしまうのは確かによくない。
でも今回のシステムは脆弱性だなんてレベルではない。
予約は自由にできるし、他人の予約はキャンセルできるし、他人の予約を比較的簡単に見ることもできる。
高校生でももっとまともに作れるだろうというシステム。
抗議すべきはこんなものを開発して納入した業者とこんなものを受け取った国側の担当者だよ。
Re: (スコア:0)
これは仕様
自治体が発行する接種券番号と紐づいていないのだからこういうシステムにしかならない
システムは接種日時の予約をするだけで、接種番号間違ったら当日接種を受けられないだけ
ワクチンが余ったら自衛隊員に接種するんだから、運用上も問題ない
朝日や毎日がスクープと思って報道するほどの事ではない
Re:抗議すべき対象はシステム開発者 (スコア:0)
予約用パスワードを券番号と一緒に発行しておけば良かっただけだろうに。
脆弱性ではないというのは認識がおかしい。
間違いなく仕様に盛り込まれた脆弱性である。
Re:抗議すべき対象はシステム開発者 (スコア:2)
一応誕生日がパスワード相当なんでしょう
個人に送られる予約券番号を知るのは難しいし、
適当に予約券番号を入れてそれがじつざいし、
当てずっぽうに誕生日を入れて当たる確率は低いし
Re: (スコア:0)
仕様がクソで脆弱性があるってのは確かだが、対応として「予約用パスワードを券番号と一緒に発行しておけば良かっただけ」ってのは無茶苦茶
システムができたのは後だからパスワードを先に付けておくのは無理
ランダムにパスワードをつけるとすれば予約番号との紐づけが必要で、そんな自治体ごとのデータを取り込めるなら今回だって苦労してないわけで無理
あらかじめパスワードをつけとくなんて言うのは予約番号を長くするのと同じでパスワードとして意味をなさない。長いチェックデジット(予約番号から計算できる)のほうがまだまし(DB連携の必要がない)だな
「使うかどうかもわからないけどパスワード付けとくか」では解決できないね
後知恵でいえば
* 住所コード相当のものも番号に入れておけばよかった
* 番号自体は住所コードと連番から規則で生成できるものにしておき、生成ソフトを自治体に配布する
* チェックデジット等を使って有効な番号の密度を十分に下げておく
ぐらいはやっておけばよかったと思う