アカウント名:
パスワード:
陽性者として登録するには「新型コロナウイルス感染症者等情報把握・管理支援システム」(HER-SYS)から発行された8桁の処理番号(個別のもので人によって異なる)の入力が必要です。入力フォームに行けば分かりますが、この8桁の処理番号というのは、数字のみなのです。そして、アプリ自体は匿名性が高い設計なので、アプリの内部IDはいくらでも変更できてしまう(再インストールでも変わる)。
ってことは、ブルートフォースアタックに非常に弱いし、この設計のセンスの無さからして、ひょっとして処理番号は連番?(まさかね……)
わざわざ処理番号を個別に発行するという面倒な仕組みにしたのならば、最低限数字16桁にして欲しかったです。数字のみである程度の安全性を確保するには、オンライン攻撃を防ぐにも最低でも16桁の乱数が必要なので。
不正な番号を何回か入れるとアプリ側でロックされて通信すら発生しないらしいよ。それでも改造クライアントなり作ってパケット投げつけるというならただのDDoSなんじゃない。サーバ側で対策されてるのかは別として。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
処理番号が8桁の数字なのが気になる (スコア:0)
陽性者として登録するには「新型コロナウイルス感染症者等情報把握・管理支援システム」(HER-SYS)から発行された8桁の処理番号(個別のもので人によって異なる)の入力が必要です。
入力フォームに行けば分かりますが、この8桁の処理番号というのは、数字のみなのです。
そして、アプリ自体は匿名性が高い設計なので、アプリの内部IDはいくらでも変更できてしまう(再インストールでも変わる)。
ってことは、ブルートフォースアタックに非常に弱いし、この設計のセンスの無さからして、ひょっとして処理番号は連番?(まさかね……)
わざわざ処理番号を個別に発行するという面倒な仕組みにしたのならば、最低限数字16桁にして欲しかったです。数字のみである程度の安全性を確保するには、オンライン攻撃を防ぐにも最低でも16桁の乱数が必要なので。
Re:処理番号が8桁の数字なのが気になる (スコア:0)
不正な番号を何回か入れるとアプリ側でロックされて通信すら発生しないらしいよ。
それでも改造クライアントなり作ってパケット投げつけるというならただのDDoSなんじゃない。サーバ側で対策されてるのかは別として。