doge.govサイトを誰でも編集できる脆弱性が発覚!
引用元:https://news.ycombinator.com/item?id=43045835
U.S. Digital Service(USDS)は、政府の静的ウェブサイトをオープンに構築・公開してるプロが集まった組織なんだ。httsp://usds.govのサイトをクローンしてS3にデプロイできるのがすごいね。
USDSのことは前にHackernewsで知って、感心してた。もし本当に「DOGE」を良い方向に動かすなら、USDSの力を強化することだと思う。
最近の変更は見てるけど、前のタイムスタンプはアーカイブできるの?
Gitリポジトリを見に行けば、過去のどの時点にも戻れるよ。
DOGEが履歴を書き換えなければいいけど。
>履歴を書き換えることって可能なの?コマンドや親のハッシュを使って繋がってるんじゃないの?
うん、変更したコミット以降の全てを更新して強制プッシュすればできるよ。クローンしてる人は履歴が変わってるのが分かる。
今のところDOGEは何かする前に質問したり調査したりしてる様子がないね。
経験豊富なUSDSの社員が、19歳や新しく雇われたUSDSの社員が遂行するのがほぼ不可能なソフトウェアエンジニアリングのタスクを既に達成していたのが残念すぎる。
USDSは連邦政府の最良の代表だった。多くのウェブサイトを現代化し、アクセシビリティとモバイルアクセスを重視し、使い勝手を改善した。ただその仕事は見えにくく、内部の政治や闘争に紛れている。DOGEのやってることに皆が怒っているのは理解できるが、USDSの使命を終わらせることはさらに悪影響を及ぼしてる。
私は連邦の契約者でも従業員でもなく、Pivotalの大ファンだが、以下のことは注意して聞いて欲しい。Kubernetesより影響力が薄れたPivotalのCloud Foundry PaaSは、USDAの内部デジタル変革コンサルタント18Fによって2015年に採用され、連邦政府のソフトウェア納入哲学に影響を与えたと思う。手動での仮想マシン提供から柔軟な環境への移行が、連邦オフィスでのアジャイル開発を可能にするかもしれない。
速く行動して何かを壊すことはどこかで聞いたことがあるフレーズだね。昨日、USGSの地震マップが壊れた。新しい地震を調べるために毎日使ってたのに、今は海のレイヤーしかない。
そうだと思う。DOGEの関係者が誰かに指示されて、この有用なサイトを壊す責任があるのは合理的な結論だよ。
おそらくメキシコ湾の名前を変更したせいで壊れたんだろう。
私は内部者じゃなくて地球物理学者だ。USGSの地震サイトは、毎日のようにチェックしている。ただの15年間、完璧にデータを提供してきたのに。どうやら「Gulf of Mexico」を「Gulf of America」にする試みが背景にあるみたいだ。
なんか責任を取らせないようにしてるって感じだね。このマップのレイヤーが消えたり、変わったりした問題に対して、君のオフィスからの内部情報を教えてよ。
君の意図を勘違いしてる。DOGEが無能だと思うし、Muskのやり方は不快で非効率的だ。もっと証拠が欲しいだけなのに、無能な人が多い政府で誰がやったのか知りたかったんだ。ただの噂じゃないし。
君の返信ありがとう。情報を準備しておくのが普通なのに、いきなりサイト変更があったのが疑問。結局、何の告知もなく、一部が消えたってのは問題だよね。政府に信頼がないのも分かるけど、全員が無能なわけではないよ。
メキシコ湾の名前を変えることは問題の核心じゃないと思う。名前を変えるのは普通だし、データ管理のソフトウェアも対応できるはず。誰がこの変更をしたのか、もう少し情報が欲しいな。
機能の名前変更の仮説には完全に同意。でも、DOGEがリネームを頼んだわけではなく、POTUSがそうしたんだ。彼らは無能だし、政府には他にも無能な人がいる。
管理者がメキシコ湾の名前変更を命じた後に、USGSのデータが壊れたのはおかしい。誰かが無視して直接変更しようとした結果なんじゃないの。 早く動いて壊すのがシリコンバレーを作ったんだ。それが証明されてる。一方で、政府のやり方はうまくいってないってのも明らかだよ。 アメリカ政府は330万人の利用者と法的利害関係者がいるサービス。ここの運営規模はシリコンバレーのどこにも負けない。 シリコンバレーが2005年にできたと思ってる人のセリフだよね。シリコンバレーは半導体の発展によってできたもので、あまり分からんけど、そんな簡単にはいかない。 もちろん、上手くいってるよ。もし連邦政府が失敗したら、お気に入りのVCの友達を呼んで新しい連邦政府を始めればいいさ。憲法もなしでね。なんで誰もこんなことを思いつかなかったんだろ? シリコンバレーは認めたくないかもしれないけど、連邦政府がシリコンバレーもテスラも作ったんだ。 これは新しい人が既存の社員に対して軽蔑しないことが大事なだけで、いい方法を利用したいって思ってるなら活かせると思う。Twitterもエロンが買収した後同じ問題があったよね。 ハック自体について話したい人いる?”データベースを開いたまま放置”以外に詳しいことが知りたいんだ。 誰かがjsを未圧縮のまま公開して、サイトの他のRESTエンドポイントがただの未確認のクソエンドポイントだと判明したんだって。 まるで、20歳の若者たちを雇って好き放題にさせた結果だね。今の私はLLMsを非常に若いエンジニアが短いリードに従って仕事する様子で使ってるよ。 はい。LLMsは経験がない親切なインターンみたいだね。 私的には、そのインターンよりも最悪だと思う。インターンには教えたり、間違いを直したりすることができるけど、LLMsは去年か何かの雑誌から拾ったことだけ繰り返すだけの永遠のインターンみたいだもん。 永遠のインターンの時代だね。 LLMsはインターンにとって、まるで子供に対する猫みたいなもんだね。最初は自立してるように見えるけど、結局はお尻の始末をしなきゃいけない動物を抱える羽目になるんだよ。 今やオンラインのコンテンツは、完全自動化された永遠の9月によって書かれてる。 LLMの出力を検出する仕組みがないと、学術雑誌やブログ、アートからの情報を取り込むたびに永続的なモデルの崩壊に直面しちゃうかも。 >人材には教育して、ミスを直して、成長を助けることができるけど、LLMには人間の開発者と同じ方法ではできない。でも、.cursorrulesファイルみたいなものを使うことで、ある程度効果的にできる。 デジタルネイティブはコンピュータを魔法のように思ってて、自分たちの使ってるフレームワークがどう動いてるかなんてほとんど知らないんだ。 俺もそう思う。20歳の時に政府機関でインターンしたけど、何をするにも資格が必要ってわかってた。ほとんどのフレームワークはこれがデフォルトで設定されてるのに、こんな人たちが政府を破壊してるなんて、本当ヤバい。 確かに両方だね。20歳の若者が“超効率的”になるために、LLMを使って政府の重要なウェブページを作ってる。でも、修正後も文書の断片や“俺たちってすごいだろ!”みたいな文が数行あるだけで、恥ずかしい。 そうなの?少なくとも俺の経験では、ChatGPTはセキュリティにめっちゃこだわってるように感じるけど。もしかしてGrok使ったのかな;P >少なくとも私の経験では、ChatGPTはセキュリティに厳しくて、ベストプラクティスの使用を強く推奨している。でも、俺の経験は全然違う。どのLLMもSQLIやXSS、他のインジェクションの脆弱性をたくさん生み出す。さらに、ビジネスロジックの認証やエラーハンドリング、ロギングを完全に無視することが多い。 編集ウィンドウ、上は”完全に承認をスキップするべきだ”って書くべきだな。 それって本当にそうなの?無能を悪意と勘違いしてはいけないって言われるけど、Muskの周りには普通以上を要求される感じがする。 どうやら無能なバックドアを作り出すのは、効率を上げるのと同じくらい下手くそみたいだね。 最初の予想は、これは認証されていないサーバーアクションだと思う。 DOGEのウェブサイトをチェックしたけど、POSTリクエストがブロックされてるし、見つけたAPI(例:/api/offices)はGETリクエストしかサポートしてない。UUIDが合わないと404になるし、データベースを変更するCRUDエンドポイントは見当たらないよ。 DOGEは気づいたみたいだね。今は”Workforce”のヘッダーにリンクされているページが、以前のスクリーンショットとは違うように見える。 久しぶりにCMSがデータベースからデータを引っ張るのを見たよ…ウェブサイトが負荷に耐えられたのは奇跡だ。 CMSをしっかり設定されたCDNの後ろに置けば、実質的には静的サイトジェネレーターになるよ。キャッシュ無効化ができれば、静的サイトのすべての速度とスケーラビリティの利点を得られるし、コンテンツを再生成する必要もない。 おそらく、前にあまり物がなかったから、管理エンドポイントが公共のインターネットからアクセス可能だったんじゃないかな。”しっかり設定されたCDN”って言うのが鍵だよ。もしCDNが前にあったとしても、設定が良くなかったんだろうな。ちなみに、私はPlone(政府に人気のCMS)のウェブサイトで、負荷分散、キャッシュ、プロキシ、シャーディング、CDNの設定に長いこと関わってきたよ。 データベースは第三者から書き込み可能で、リアルタイムでサイトに表示されるらしい。不確かなことは言えないけど、SQLインジェクションか、フロントエンドに資格情報が露出しているかもしれないね。 …あるいは、全く認証なしで使えるエンドポイントもあるかも。 …ああ、そうそう。よく読んでみると、その通りだね。マスクはどこでこんな人たちを見つけたんだ?1996年かよ。 俺の予想はSQLインジェクションだね。 インターネットに簡単に接続できるデータベースを使ったようだ。それが現代のデータ漏洩の90%の原因だよ。毎世代、物事は簡単になるけど、無知な人が無知なミスをするのはいつも同じ。 この記事は有料で読めないけど、要するにサイトに表示されるTwitterフィードだけの話らしい。つまり、Cloudflareでホスティングされていて、記録されたサイトに偽のツイートを挿入できたってこと。ただ、本当のDOGEのTwitterフィードにはデータは影響してないと思う。 ただ、めちゃくちゃ恥ずかしいよね。政府の無駄を見つけるために50年分のレガシーコードを読む天才たちが、3週間でそんなことをしてるのか。 データサイエンスとウェブサイトは全然別物だからね。 彼らは特にバレンタインデーまでに受領書を表示すると言ってたけど、今は”週末に受領書をお待ちください!”ってなってる。次は”サイトは受領書準備完了”になるんだろうな。もっとコメントを表示(1)
もっとコメントを表示(2)
