アカウント名:
パスワード:
陽性者として登録するには「新型コロナウイルス感染症者等情報把握・管理支援システム」(HER-SYS)から発行された8桁の処理番号(個別のもので人によって異なる)の入力が必要です。入力フォームに行けば分かりますが、この8桁の処理番号というのは、数字のみなのです。そして、アプリ自体は匿名性が高い設計なので、アプリの内部IDはいくらでも変更できてしまう(再インストールでも変わる)。
ってことは、ブルートフォースアタックに非常に弱いし、この設計のセンスの無さからして、ひょっとして処理番号は連番?(まさかね……)
わざわざ処理番号を個別に発行するという面倒な仕組みにしたのならば、最低限数字16桁にして欲しかったです。数字のみである程度の安全性を確保するには、オンライン攻撃を防ぐにも最低でも16桁の乱数が必要なので。
ブルートフォースアタックなんてしたら普通に業務妨害罪で捕まるのでは?アプリが個人特定できないと言っても、大量のパケットを送りつけてくる端末のIPアドレスから個人特定は可能だし
身元が特定されないように踏み台使ってDDoSした場合でもシステムダウンに追い込むことは出来たとしても、虚偽登録したIDは捨てられるだろうよ。
#こういう事言うやつばかりだと公安の主張に妥当性が出て、困るんですけど。 #それに、まぁ身元がわかるような DoS は素人レベルで、今日びの DDoS でも普通そんなことしないよねぇ。
仕様書を見る限りは処理番号をランダムにして、HER-SYSの照合処理をセキュリティ強化すれば問題無いのでは?https://cio.go.jp/sites/defaul... [cio.go.jp]
それよりも通知があった後のフローが気になる。自分に症状がなかった場合、周囲の人で症状ある人がいないか捜索するの?
処理番号をランダムにしてもDoSが防げるわけじゃない元コメの意図と全然違う方向に話が進んでる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
処理番号が8桁の数字なのが気になる (スコア:0)
陽性者として登録するには「新型コロナウイルス感染症者等情報把握・管理支援システム」(HER-SYS)から発行された8桁の処理番号(個別のもので人によって異なる)の入力が必要です。
入力フォームに行けば分かりますが、この8桁の処理番号というのは、数字のみなのです。
そして、アプリ自体は匿名性が高い設計なので、アプリの内部IDはいくらでも変更できてしまう(再インストールでも変わる)。
ってことは、ブルートフォースアタックに非常に弱いし、この設計のセンスの無さからして、ひょっとして処理番号は連番?(まさかね……)
わざわざ処理番号を個別に発行するという面倒な仕組みにしたのならば、最低限数字16桁にして欲しかったです。数字のみである程度の安全性を確保するには、オンライン攻撃を防ぐにも最低でも16桁の乱数が必要なので。
Re: (スコア:0)
ブルートフォースアタックなんてしたら普通に業務妨害罪で捕まるのでは?
アプリが個人特定できないと言っても、大量のパケットを送りつけてくる端末のIPアドレスから個人特定は可能だし
身元が特定されないように踏み台使ってDDoSした場合でも
システムダウンに追い込むことは出来たとしても、虚偽登録したIDは捨てられるだろうよ。
Re: (スコア:1)
#こういう事言うやつばかりだと公安の主張に妥当性が出て、困るんですけど。
#それに、まぁ身元がわかるような DoS は素人レベルで、今日びの DDoS でも普通そんなことしないよねぇ。
Re:処理番号が8桁の数字なのが気になる (スコア:1)
仕様書を見る限りは処理番号をランダムにして、HER-SYSの照合処理をセキュリティ強化すれば問題無いのでは?
https://cio.go.jp/sites/defaul... [cio.go.jp]
それよりも通知があった後のフローが気になる。
自分に症状がなかった場合、周囲の人で症状ある人がいないか捜索するの?
Re: (スコア:0)
処理番号をランダムにしてもDoSが防げるわけじゃない
元コメの意図と全然違う方向に話が進んでる