• 人気のコメント(10)
  • 全てのコメント
ysync ysync 皆で思い思いの脆弱性を仕込む大会でも開いてたのかね?/特定の手順で金を入れると釣り銭をまとめて吐き出す自販機の都市伝説を思い出す。

2019/07/17 リンク

demAge demAge うーんこのファイアウォールをティッシュで作りました感

2019/07/16 リンク

kamemoge kamemoge 関わりたくないやつ

2019/07/15 リンク

daybeforeyesterday daybeforeyesterday うーむ

2019/07/15 リンク

anqmb anqmb 認証連携プロトコルのなりすましを防ぐための「チェック手順が実装されていなかったとみられる」「認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得」

2019/07/15 リンク

hiroomi hiroomi “2019年7月11日”

2019/07/15 リンク

rti7743 rti7743 企画した人があんな機能もほしい、こんな機能もほしいとか言ったんだろうな。機能が増えるたびに複雑さがまして穴が広がっていったんだろう。

2019/07/13 リンク

Shalie Shalie "「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる"

2019/07/13 リンク

katzchang katzchang “「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。”

2019/07/13 リンク

emmie714 emmie714 openid connectの仕様を一から自前で実装するって、なかなかリスクあると思うんだけど、そこをだれか最初に言わんかったのかいな。

2019/07/13 リンク

fellfield fellfield 7payの判明直後に念のためomni7アカウントを消したけど、まさかそれが正解だとは思わなかった。

2019/07/13 リンク

shellscript shellscript セブンのシステム部門の要件定義力がないのか、セブンの出すスケジュールにいつも無理があったのか、実は外部システム会社にも責任があるのか、これは泥沼の様相を呈してきたな

2019/07/13 リンク

iuhya iuhya “「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。”

2019/07/13 リンク

mono_i_love mono_i_love “外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があった” 明日「外部連携している各システム担当者は至急確認をお願いします」というメールが日本中で出回

2019/07/13 リンク

nobodyplace nobodyplace えっくっそヤバくね / まあパスワードを平文化して利用とかはアレだけど

2019/07/13 リンク

call_me_nots call_me_nots “「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる”

2019/07/13 リンク

nowandzen nowandzen 今度虎ノ門で開催のセールスフォース主催のマーケイベ、この7iDお題目にした講演あるんだけど、まさかこんなことになるとは思わなかったんだろうなあwどんな顔して講釈垂れるのか

2019/07/13 リンク

karkwind karkwind ひぇ

2019/07/13 リンク

cabvm cabvm OpenIDについては実装がまずかった。パスワードのハッシュが返ってくるのは大問題。簡単に突破されたということはソルトやストレッチングを行っていない、単なるハッシュだった可能性が高い。

2019/07/13 リンク

joker1007 joker1007 これsalt無しハッシュ化してるかsaltごと漏れてるってことで、もう完全にダメでは。

2019/07/13 リンク

tetsuya_m tetsuya_m えっ( •̀ㅁ•́;) 例のパスワードリセットフォームよりこっちの方がよほどヤバイじゃん

2019/07/13 リンク

Lat Lat あれ?ハッシュ化って認可側(サーバー側)でやらない?なんでハッシュがクライアント側(他のユーザー)に漏れるんだ??

2019/07/13 リンク

programmablekinoko programmablekinoko この問題に下手に知ったかで言及するとmala氏や高木先生に焼かれる

2019/07/13 リンク

honeybe honeybe 外部ID連携止めた話の時は「え、そこじゃなくない?」と思ったけどそこもだったのか。うーむ。

2019/07/13 リンク

longroof longroof うぅぅぅぅぅ(´;ω;`)…

2019/07/13 リンク

ryunosinfx ryunosinfx OpenIdのID情報をそのままならプロバイダ内で一意になりそうだが、一部が分かるとやばいとか言ってたので、自分とこのカラム長に切り取って使ってたんだなと。別のOpenIDプロバイダで頭だけ該当桁一致でログインできたと

2019/07/13 リンク

miquniqu miquniqu これだけ問題が大きくなるなら、1カ月1000万とかでスペシャリストにアドバイスもらったほうがよかったのでは。

2019/07/13 リンク

Yuny Yuny これじゃ他にも危ないかも……とかユーザー心理的には普通に思う。ただ素人にできることじゃないので犯人の総元締めみたいな人が絶対にいるはず。

2019/07/13 リンク

oldriver oldriver いろいろ出てきてボロボロだな。そのせいで、かえって具体的な議論がしづらくて批判の矛先が鈍る状況なのではないか。

2019/07/13 リンク

otihateten3510 otihateten3510 エンジニアが考える悪夢の一つみたいな状態になってる。リリースする時にこういうの起きたらどうしようって頭ぐるぐるするよね。

2019/07/13 リンク

    関連記事

    [独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明 | 日経 xTECH(クロステック)

    セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDから...

    ブックマークしたユーザー

    • cat12282019/07/21 cat1228
    • repunit2019/07/20 repunit
    • ysync2019/07/17 ysync
    • mas-higa2019/07/17 mas-higa
    • poppyhi2019/07/17 poppyhi
    • sagann2019/07/16 sagann
    • demAge2019/07/16 demAge
    • tg30yen2019/07/16 tg30yen
    • kw52019/07/16 kw5
    • tyage2019/07/16 tyage
    • yujin_kyoto2019/07/16 yujin_kyoto
    • yyamano2019/07/16 yyamano
    • alcus2019/07/16 alcus
    • laughing2019/07/16 laughing
    • aknk94512019/07/16 aknk9451
    • otanuft2019/07/15 otanuft
    • kamemoge2019/07/15 kamemoge
    • saken6492019/07/15 saken649
    すべてのユーザーの
    詳細を表示します

    いま人気の記事

    いま人気の記事 - テクノロジー

    新着記事 - テクノロジー

    同じサイトの新着

    【歌うボイスロイド】QOLをあげるよー のうた

    1 user https://www.nicovideo.jp/

    Please!10th Anniversary Final Event‘summer wind’ - 惰眠日記neo

    1 user https://silk-0001.hatenablog.com/