NTT ドコモ様の CAPTCHA がひどい件について [ネット生活]
http://takagi-hiromitsu.jp/diary/20091001.html#p01
笑える。これに比べれば、過去、「暗号強度が低いんじゃないの?」と言われていた人たちが、どんなにちゃんとしてるか。
http://blogs.wankuma.com/nagise/archive/2007/10/26/104428.aspx
http://ameblo.jp/b-snow/entry-10073708149.html
正直、いつか誰かがやると思ってた。それが NTT ドコモ様程の大手とは思わなかったが。
なぞなぞの答えを一緒に送っちゃうことだってあるし、 http://nakagami.blog.so-net.ne.jp/2008-03-05 こういう光景は開発の現場にいたらよく見かけるんじゃないかな。
事前に誰か気づいていたんじゃないの?という意見もあるけど、発注側はあまりどういう処理をしているかを事細かに見なくて(プログラマじゃないんで)、最終的に担当者の考えた変なロジックがそのまま通っちゃうこともあるんじゃないかと。
これは、セキュリティ上問題がある以前に、プログラマとして恥ずかしいレベル。担当の人はなんて言い訳するんだろう?(事前に承認された設計書の通りに作って、最終的にコードも承認いただきましたとか言うんだろうな)
でもまあ、今回のはあまりにストレート過ぎる(せめてシーザー暗号っぽいことしてくれないと)。さらに言うと、これをまともな CAPTCHA にするには、根本から作り直さないといけない気がするので、今後どういう仕様上の変更がなされるか楽しみだ。
とりあえずのその場しのぎとして今日中に取り繕う方法を考えました!SID= の値の部分を鍵付き HMAC でハッシュすれば、少なくとも今よりは大分ましになると思います。php なら hash_hmac() ってのを使うみたいですよ!
http://php.plus-server.net/function.hash-hmac.html
http://www.revulo.com/blog/20090811.html
・・・と、ドコモの人にヒントを与えておこう。
笑える。これに比べれば、過去、「暗号強度が低いんじゃないの?」と言われていた人たちが、どんなにちゃんとしてるか。
http://blogs.wankuma.com/nagise/archive/2007/10/26/104428.aspx
http://ameblo.jp/b-snow/entry-10073708149.html
正直、いつか誰かがやると思ってた。それが NTT ドコモ様程の大手とは思わなかったが。
なぞなぞの答えを一緒に送っちゃうことだってあるし、 http://nakagami.blog.so-net.ne.jp/2008-03-05 こういう光景は開発の現場にいたらよく見かけるんじゃないかな。
事前に誰か気づいていたんじゃないの?という意見もあるけど、発注側はあまりどういう処理をしているかを事細かに見なくて(プログラマじゃないんで)、最終的に担当者の考えた変なロジックがそのまま通っちゃうこともあるんじゃないかと。
これは、セキュリティ上問題がある以前に、プログラマとして恥ずかしいレベル。担当の人はなんて言い訳するんだろう?(事前に承認された設計書の通りに作って、最終的にコードも承認いただきましたとか言うんだろうな)
でもまあ、今回のはあまりにストレート過ぎる(せめてシーザー暗号っぽいことしてくれないと)。さらに言うと、これをまともな CAPTCHA にするには、根本から作り直さないといけない気がするので、今後どういう仕様上の変更がなされるか楽しみだ。
とりあえずのその場しのぎとして今日中に取り繕う方法を考えました!SID= の値の部分を鍵付き HMAC でハッシュすれば、少なくとも今よりは大分ましになると思います。php なら hash_hmac() ってのを使うみたいですよ!
http://php.plus-server.net/function.hash-hmac.html
http://www.revulo.com/blog/20090811.html
・・・と、ドコモの人にヒントを与えておこう。
なおってる。
しかも、SID= のパラメータが付いてない本来ありうべき姿。
パラメータで渡さずセッション変数に保存してるんだろう。
(違う数字を入れたら弾かれたのでチェックはしてるらしい)
なーんだ、やればできるじゃん!すごいドコモ!
by nakagami (2009-10-02 17:14)