• はてなブックマーク
  • テクノロジー
  • 「世界最悪のログイン処理コード」を解説してみた
  • Twitterでシェア
  • Facebookでシェア

「世界最悪のログイン処理コード」を解説してみた

テクノロジー カテゴリーの変更を依頼 記事元:qiita.com/YSRKEN
適切な情報に変更
538 usersがブックマーク コメント95

    記事へのコメント95

    • 注目コメント
    • 新着コメント
    ockeghem
    ockeghem 徳丸本2に添付のBad Todo(脆弱なサンプルアプリ)も結構エグいが、養殖物は天然物にはまったくかなわないことをあらためて実感した

    2018/08/13 リンク

    その他
    coppieee
    coppieee apiService.sql()のとこネットワーク絡むし同期的に実行できないから動かない。多分フェイク。

    2018/08/13 リンク

    その他
    Hamachiya2
    Hamachiya2 確かにこれはフェイクっぽいけど、公開されてるWebサービスでクライアントJSから任意のSQL実行してるのは実際に見たことある

    2018/08/14 リンク

    その他
    yumainaura
    yumainaura ふつう頑張ってもここまで悪く出来ない

    2018/08/12 リンク

    その他
    WildCard
    WildCard https://qiita.com/YSRKEN/items/0095cf75be3f607b0f98

    2018/08/13 リンク

    その他
    Rishatang
    Rishatang 「どこからどこまでもクソコードな癖に、「===」演算子を使うことで暗黙の型変換をキッチリ回避している」これ思った

    2018/08/13 リンク

    その他
    napsucks
    napsucks 全ユーザ取得して検索してる上にパスワードが平文かよ、ってのは気づいたが、まさかユーザ端末上で動いてるとは思わなかった。サーバサイドJSかなと。

    2018/08/13 リンク

    その他
    teppeis
    teppeis 古来より伝わる sync xhr という禁じられた技法があってな、なんでも通信を同期実行できるという。しかしその代償として世界の時が止まってしまう恐ろしい技法じゃ

    2018/08/14 リンク

    その他
    aoasagi
    aoasagi 問題点1でフフってなる

    2018/08/13 リンク

    その他
    otchy210
    otchy210 まず任意の SQL を実行できる API を書いた人がいたわけで。

    2018/08/14 リンク

    その他
    yamadar
    yamadar 色々と笑う。どこから突っ込めば良いのか分からねぇぜ...

    2018/08/22 リンク

    その他
    JULY
    JULY クライアント上のJavaScriptで書かれている事が諸悪の根源、みたいに書かれているけど、それだと、本質を見落としそうな気が。2~5の問題が見えやすいだけで、どれもNGだと思うが...。

    2018/08/16 リンク

    その他
    k-motoyan888
    k-motoyan888 Cookieにユーザー情報保存してないのでユーザーごとのアカウントが必要なシステムには見えないし、BasicAuthで十分ではないのだろうか?

    2018/08/16 リンク

    その他
    homarara
    homarara これがBtoCで無事運用されてたなら、世界はまだまだ捨てたものではないかもしれない。

    2018/08/15 リンク

    その他
    niship_0822
    niship_0822 “「あまりに脳筋なためにSQLインジェクションできない」”

    2018/08/15 リンク

    その他
    UDONCHAN
    UDONCHAN いい話

    2018/08/14 リンク

    その他
    nunux
    nunux 自分はこのログイン処理コードをハッキングできないので、「セキュリティ上、何の問題があるのか」をしっかり理解できていないということになる。

    2018/08/14 リンク

    その他
    nakayossi
    nakayossi if ("true" === "true") { return false; }とか、ネタにしか見えない。

    2018/08/14 リンク

    その他
    hiddy216
    hiddy216 さすがにわざと書いたんじゃないのかなあ

    2018/08/14 リンク

    その他
    rjge
    rjge 単純にreturn falseせずに“if ("true" == "true")”を噛ませているあたり趣深い

    2018/08/14 リンク

    その他
    Cujo
    Cujo くらいあんとがしゃないたんまつにげんていできるならまだ(あかん

    2018/08/14 リンク

    その他
    okzk
    okzk apiServiceの同期呼び出しのトコでフェイクっぽいなー、と思って調べたら、XHRで同期呼び出しができる(できた?)らしいので、あながちフェイクではないかも?と思い直した、そんな午後。

    2018/08/14 リンク

    その他
    torinosito
    torinosito ……他モジュールのテスト用でもひどいなと思ったが、実際に使われてたのか。まあテスト用モジュールにしてもパスワードが平文の時点であれだが。 つーか、"put this in a different file"って、これを使いまわす気だったの!?

    2018/08/14 リンク

    その他
    cubed-l
    cubed-l よくこんなひどいものを思いつけるものだなあ

    2018/08/14 リンク

    その他
    kote2kote2
    kote2kote2 無料で診断してもらって開発者は儲けものだな。

    2018/08/14 リンク

    その他
    stk132
    stk132 sql見えたからphpかなと思ったらjsだって気づいたとき、戦慄したよね

    2018/08/14 リンク

    その他
    gowithyou
    gowithyou if ("true" === "true") { return false; } は哲学を表現したものだな。きっと

    2018/08/14 リンク

    その他
    youhey
    youhey 純粋に楽しんでしまったけど、ログイン成功したユーザIDとパスワードをクエリストリングで引き回すという金融系の携帯サイトを10年以上前に引き継いだことあるから、あまり笑えない。

    2018/08/14 リンク

    その他
    esper
    esper そうそう、コメント欄にもあったけど、apiService.sqlが同期処理で動いてるのが謎というか、ネタ感を感じる。

    2018/08/14 リンク

    その他
    kfujii
    kfujii "真"が"真"であるならば偽を返す…深い…

    2018/08/14 リンク

    その他
    dnsystem
    dnsystem 変数名がきれいすぎる

    2018/08/14 リンク

    その他
    rAdio
    rAdio パッと見て、「危ないけどよくあるヤツだし、世界最悪というほどでは…」と思ったら、クライアントJSかよ。そりゃすごい。もしユーザとしてこれを発見したら、変な声が出そうになるな…。

    2018/08/14 リンク

    その他
    securecat
    securecat イントラならおかしなことした社員を業務規則で罰すればいいので問題ないみたいな運用か?

    2018/08/14 リンク

    その他
    Helfard
    Helfard こんにちはこんにちは!

    2018/08/14 リンク

    その他
    stealthinu
    stealthinu 全く同様のログイン処理のコードを以前見たことがある… イントラ用のコードしか書いてないとこがWeb系書くとやばい。その時は指示系統こっちじゃなかったが流石に受注元経由で指摘し修正させた。

    2018/08/14 リンク

    その他
    bestation
    bestation 事実ならなんのサービスなんだろか。

    2018/08/14 リンク

    その他
    ikosin
    ikosin apiService、一体何者なんだ

    2018/08/14 リンク

    その他
    girled
    girled さっきこの話してたら「でも、ログイン出来るだけマシでしょ」って言われて何も言えなかった

    2018/08/14 リンク

    その他
    eerga
    eerga TODOあるし、フェイクっぽい。開発中のコード?

    2018/08/14 リンク

    その他
    maangie
    maangie ブックマーク・コメントも。

    2018/08/14 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    「世界最悪のログイン処理コード」を解説してみた

    Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure y...

    ブックマークしたユーザー

    • field_combat2024/01/04 field_combat
    • techtech05212022/10/02 techtech0521
    • sat0ma0142020/10/25 sat0ma014
    • oniipoooon2019/12/02 oniipoooon
    • hate_nao2019/04/08 hate_nao
    • sett-42018/10/21 sett-4
    • hkmfrjp2018/09/25 hkmfrjp
    • ryotkn2018/09/18 ryotkn
    • miguchi2018/09/07 miguchi
    • yuuki55552018/09/05 yuuki5555
    • OtaiaOmr3182018/09/05 OtaiaOmr318
    • bzb054452018/09/05 bzb05445
    • zombieinc2018/09/04 zombieinc
    • alphabet_h2018/09/03 alphabet_h
    • kami-arum2018/08/25 kami-arum
    • souvenir0382018/08/24 souvenir038
    • latteru2018/08/24 latteru
    • shibushibu_oyaji2018/08/23 shibushibu_oyaji
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.