板に戻る 全部 本家 最新10 1-

ささやき いのり えいしょう ねんじろ! @06958

1 2021/04/12 22:54 ID:536
おおっと 新しい問題を報告してしまうぞっ!

灰も残らずロストさせられてしまった安全失格君で指摘した、
 cio.go.jp/index.php?q=/user/login
はCloudFlareのエラーに置き換わっているのを確認しました。
すばやい たいおー ごくろーさま でぇぇぇーーーーーーーーっす。v(^ ^)v

とーころがどっこい。まだ問題が残ってますっ!
 cio.go.jp/index.php?a=1&q=/user/login
こちらも すばやい たいおー を おねがいしまっーす。v(^ ^)v


それでですね、セキュリティ分野でこういった「あおり運用」するの、厳罰化してもらえませんか?

『言われたこと、指摘されたことはちゃんと対策しましたー。言われたこと、指摘されたことだけ、ね。』というの、許されざる行為です。特にセキュリティ分野では。
普通の社会のお仕事でも、そうゆうことやったら怒られますよね?


それと、慌てて消すほどの問題ではない(ログイン画面であって、別に脆弱性があるわけではないですよね?)のに、なぜか理由も出さずに消して回ってますが、これ、脆弱性を隠すためにアクセス制限してるんでしょうか? もしそうだとするなら、大不祥事ですよ?

Drupal本家ではアクセス制限特にしてないんですが、何のためにアクセス制限してるんでしょうか?
そして、制限が「本当に必要」なのであれば、このようなザルんザルんなやり方、許されないですよね?
チェックシートはどうなってますか?念のためログイン画面にはアクセス制限を正しく設定する、みたいな項目に、〇ついてないですよね? ちゃんと設定できてないんですもの。

一人の日本国民として、政府のCIOを名乗ってるポータルサイトがこの体たらくとか、信じがたいですし、政府側責任者の責任追及したいレベルです。


いずれにしても、あおり運用はやめてください。
きちんと「これで考慮漏れも設定漏れもない」と言える、正しいセキュリティ設定をしたうえで、日本という国のCIOのポータルを名乗ってください。


諸外国からナメられてるってレベルじゃないですし、このレベルでデジタル改革とか、恐怖しかないです。




なお、このアイデアは明日のお昼ごろまでには手動的に消滅する。v(^ ^)v タブンネ
2うぃず 2021/04/12 22:55 ID:536
賛成
    この怪文章は、背教者おじさんの提供でお送りしました。

 ※怪文章は用法・容量を守って楽しくご利用ください。万が一、心身や日常生活に支障が出た場合、直ちにご利用を中止し、専門家にご相談ください。
3ほげ 2021/04/12 22:57 ID:d5d
確かにこれも消されそうだ。

この URL パターンて事は Drupal 6 系 ? ちゃんと LTS に置き換えているのかな ?
4うぃず 2021/04/12 23:03 ID:536
賛成
なお、アイデア削除されたのが、コレの件を具体的に表ざたにしたせいの可能性が高いので、独立して掲載することで、削除要件のガクモン的検証を行う目的の上、この実験を行っております。(^ ^v

今回「も」削除された場合、次回以降シツコク繰り返したりするつもりはありません。
業務や公務の執行を妨害する目的などではないということです。(^ ^;;;;; 誤解なきようお願いします。最初からセツメイしてくれれば、こんな実験せずに済んだのです。

キチンとした説明もなしにいきなり削除され、その後もザルんザルんなフザケた設定変更して知らんぷりしているので、いったい何が起きているのか、「国民の知る権利」を行使させていただいております。


次回以降は、具体的な内容に言及することなく、単純に「抜け道があるのに塞がっていない」という点だけ批判・非難させていただきます。


でわでわv(^ ^)v
5うぃず 2021/04/12 23:05 ID:536
賛成
>>3 どうせ消されると思うので、調べた感じを書置きしておくと、cloudflare側でWAFがあるので、既知の有名な脆弱性はCloudFlareの時点で遮断されてましたー(^ ^;;; それに頼り切られると、国民としては困る・・・

remote code execution系の脆弱性とかは、cloudflareレベルで遮断されてる状態でした。
なのでバージョンは特定デキナカッタ・・・
6うぃず 2021/04/12 23:08 ID:536
賛成
後さらについでに、政府運営さんと、ベンダーさんあてに書置きです。


これも消されたら、次から通報先はIPAとかJVNにします。

これらの大きな機関が、弱小個人の大したことない報告を相手にしてくれるかどうかはわかりませんが、権力外から警告してもらう形にしますので、ヨロシクです。
7うぃず 2021/04/12 23:11 ID:536
賛成
たいしたことない細かい重箱の隅をつついている、というのであれば消される覚えがないですし、消されるほどの重大事項なら、まじめに取り組んでもらわないと、国民として黙ってる訳にはいきませんから。
いい加減な対応のまま、消してワカラズにするなら、どこの豚の骨ともわからないトンコツ(ポンコツではありません。大事なことなので2度書きますが、ポンコツではないです)おじさんよりも、影響力の大きいところに通報しますだ。
8ほげ 2021/04/12 23:13 ID:d5d
>>5 > なのでバージョンは特定デキナカッタ・・・

まぁ私も Drupal はよく知らず、この辺の記述を見ただけなんだけど。
www.nginx.com/..pics/recipes/drupal/

location @rewrite {
#rewrite ^/(.*)$ /index.php?q=$1; # For Drupal <= 6
rewrite ^ /index.php; # For Drupal >= 7
}

  投票
本家に投稿する場合はここから