【struts1】7payのパスワードリセットURLの拡張子が「.do」まさかのstruts1

7payのパスワードリセットURLを見ると、拡張子が「html」とか「php」ではなくて、
「.do」となっていることがわかります。

Struts1の標準的な拡張子なんですが、現在はStruts2がスタンダードです。

7payいわばwindows10の時代にwindows95を使ってシステムを構築したのか?
とツイッターを中心にネットで大騒ぎになっています。

struts1は確かに時代遅れではあるしサポートも打ち切りとなっています。

だからと言って危険というわけではありません。セキュリティは運用面の問題もあるし、きちんと脆弱性をソフトウェア的につぶすなどの対策をすれば良いわけだし、現在もおそらくstruts1で動いているサーバーはごまんとあると思われます。

struts1はレガシーで古いとはいえ、逆に言うと安定性に優れている、と言えなくもない?
ただ100歩譲っても、新システムにstruts1を採用したのは、ベンダー側が開発をせかされて、仕方なく開発工数を削りやすい既存の技術で突貫工事でシステムを作ったのでは?と憶測してしまいます。

7payのstruts1に関する脆弱性に関するツイート

スタイルシートで送付先メールアドレスを非表示にするとか、これはもう開発会社側で、何かしらの意図をもってやっているとしか思えないですね。。。

そしてもう一つ心配というか不安というか怖いのは、オムニ7の方でもstruts1を使っている可能性があること。

struts1の脆弱性(セキュリティホール)をピンポイントでついたサイバー攻撃や不正アクセスに警戒しなければいけません。

7pyaのstruts1に対するネットの口コミ(ツイッターの反応)

タイトルとURLをコピーしました