同人サイトにサイバー攻撃を仕掛けるのってマナー違反というか非常識...
同人サイトにサイバー攻撃を仕掛けるのってマナー違反というか非常識ではないのでしょうか。
プチオンリーの企画サイトで、参加者20名程度(全員相互で話したことある人)に公開するためにサイトを作りました。
参加者一人一人に対して個人ページを用意し、そこに提出物をアップロードしてもらう形式にしていました。
ただ、個人ページのログインのアルゴリズムを、javascript(F12押したら誰でも見れるやつ)で書いたところ、セキュリティが甘くて他人の個人ページにログインできてしまった、修正したほうが良い、と指摘を受けました。
確かにセキュリティは甘いし、商用ならあり得ない運用ですが、知り合い20人にしか公開してない個人サイトです。
アップロードしてもらったファイルも、期日が来たら全世界に公開予定のもので、個人情報などの機密ではありません。
それで、わざわざデベロッパーツールを開いて、難読化処理をかけてあるスクリプトを復号して、他人の情報にアクセスし、セキュリティが…とか指摘してくるのってめちゃくちゃ性格悪くないですか??
少なくとも知り合いの間でやることではないというか、イベント搬入の段ボールで住所氏名が丸見えになってても見ないとか、BOOTHの追跡番号で他人の最寄りのヤマトの営業所を追跡しないとか、そういう暗黙のマナーだと思うんですけど、、、、、。
それやる人がいるのは知ってますけど、知り合いで敢えてやりましたって言ってくるのってヤバくないですか???
情報セキュリティはゼロトラスト(何も信用しない)が常識、あなたのやっていることは非常識と言われましたが、私が非常識なんでしょうか…。
プログラミングなんて、中学校の技術の授業でちょっとやった程度なので、フロント側の簡単な処理しかできません。
セキュア認証はサーバー側に移動しろとか言われてますが、簡単に言わないで欲しいと思ってしまいます。
みんなのコメント
常識は場所やジャンルや界隈によって変わるから、その人にとっては常識だったんだろうね。
ただ個人企画という場所で言うならトピ主が主催なので、主催のセキュリティ意識や進行に賛同できないなら残念ながら参加お断りで~で済んじゃう話よな。
「(チッうるせーな)有識者のご意見ありがとうございます次の企画からはそうしまーす(次からお前は参加させないけどな)」でいいんじゃない?
セキュリティ対策もできない人が身内向けだからと適当なサイト作る方がどうかしてる
そんなところに作品をアップロードさせるとかマジでないわ
今時、自作せんでも無料や低額で企画に利用できるサービスいくらでもあるでしょうに
今回の場合はサイトの中の情報を盗まれる事は問題無いという事なのでそこは一旦置いておくが、他に懸念があるとしたらセキュリティホールからの侵入、サイトの書き換えや破壊工作、ウイルス埋め込みなどが怖い
データの流出だけがサイバー攻撃ではないからね…
セキュリティガバガバと自覚してるなら悪いこと言わない、どこかのサービス使うとか堅牢性は確保した方がよい
じゃないとアクセスした人間に迷惑かける事になるとも分からんぞ
マナー以前に、当然懸念すべきことを無策のままでいたトピ主さんに問題がある
トピ文を読むに、そのサイトを知っている人=利用者という状況みたいだけど、利用者の立場としてセキュリティが気になるのは当たり前の感覚
トピ主さんがやろうとしていたことは、「あなたの作品お預かりします!」って言って用意した会場が、誰でも入れて勝手に作品を差し替えたり落書きしたり、あまつさえ変な勧誘パンフレットが置き放題のガバガバセキュリティだったという感じだよ
URLは関係者しか知らないから大丈夫だと思うのは大間違い
調べ方が気に入らないみたいだけど、リアルイベントの運営と違って、ネット上の企画はシステム部分はそうや...続きを見る
インターネット素人だけど
>知り合い20人にしか公開してない個人サイト
>期日が来たら全世界に公開予定のもの
これなら「確かに今はURL書き換えでアクセスできてしまうかもですが、いずれは全世界に公開予定なので大丈夫です!!」で通るんじゃね?と思ったがもっと厳しいものなの?
ネットの、特にセキュリティの世界は残念ながら性善説で成り立ってないからね。
フロント側にログイン判定のアルゴリズムを書いたら、それはもう「カギをドアに貼ってある」ようなもの。
小中学生でもF12で見るくらいの知識はあるし、難読化しても「手間が増えるだけ」で突破可能なのは変わらない。
それに「公開予定のデータだから大丈夫」と思っても、公開前に見られたらトラブルになる可能性はある。
参加者同士でファイルを見れてしまうことでネタバレだったり改竄が可能な場合もあるけど、それをトピ主が把握して防ぐ手立てはあるのか?
であれば、googleフォームなどでファイルを提出して貰う形式だったり...続きを見る
フロントだけ見てあれ?ちょっと危なくないか?と思われたんじゃないかな。それで見てみたら…という。
サイバー攻撃って単語はこの場合当てはまらないし、それっぽいことを言ってるけど任せるの怖いなと思うよ。トピ文だけ見ても。
不完全にしかできないんだからしょうがないじゃん!ってふてくされずに、今からでも安全なやり方に変えたら?先にも出てるけど。
データを各人にアップしてもらうの必須なのかな。ファイル貰って主さんがアップして、閲覧にパスかけるだけでいい気がするんだけど。
すみませんこの文章ChatGPTに送ったら、それは大変でしたね。でもあなたには私がいるじゃありませんか。
一緒にサーバー側の処理を実装していきましょう!
って言ってサーバー側のセキュア認証を全部実装してくれました、、、、、
全ての処理は20分で終わりました。
共感と解決を同時にこなすChatGPTと、ただお気持ちを書き綴るだけの人類、、、、、
匿名掲示板ってマジで何の役にも立たないですね。
回答していただいておいて恐縮ですが、みなさんもクレム辞めた方が良いですよ。
指摘してきた方へのお礼と謝罪もちゃっぴが考えてくれて、許して貰えたし、「何も信用しない」とか強い言葉...続きを見る
泥棒に入るのはマナー違反だし家の中は入られても困るものは置いてないから鍵は掛けません
と言っているようなもの
私への信頼がゼロ=ゼロトラストって思っちゃったってコト?
トピ主かわいいね。サイト自作なんてしないほうがいいよ。
コメントをする