2010年4月2日金曜日

こねた(-_-);

痛いニュース(ノ∀`):人気ゲーム店「メッセサンオー」、ネット通販のエロゲ購入者などの情報流出…ネットで祭り状態に

実はまだありました。エイプリルフールのウソに紛れてたウソみたいなガチ、最大級。

すんません「エロゲ」とか出てますが、だからどーので済む話じゃないです。

これリアルタイムで見てました。
google検索のイメージ
上記画像に見えるリンク先に遷移すると、お客さんがいつ何のソフトをいくつ、いくら買ったか、お客さんの住所氏名電話番号は何かというのが全部出てたんです。

これだけでも十分大事件なんですが、もっとひどかったのが、

上記画像のモザイク部分に、内部関係者しかアクセスしてはいけない管理画面のURLと、ログインパスワードが丸出しになってたんです。


(というか、リンク先はまさにその管理画面です。普通の注文フォームを流用したような感じでした。
こんな画面をインターネットからアクセスできるようにするのもないと思うんだけどなあ、でも断言できないし(なりかかったことあり))

普通パスワードをURL部分に晒すなんて事は絶対にしません(断言できます)
それどころか、画面遷移に関連する情報としてパスワードを含ませることは、普通に作ってたらありえないんです。
だってログインするそのときにしか用はないんですもん。
(その代わりにセッションIDを使ったりします。考えなしではやはり危険ですが[1][2])

どうも、採用していたサイト構築用のフレームワークにおいて、管理者画面がパスワードをURLに入れて遷移していく仕様だったようです。
(ちなみに、フレームに逃がせばいいという問題でもありません念のため)

あと、個人情報はできるだけ画面に表示させたらあかんなと。
ここら辺は安全性以外にも使い勝手の問題がありますが、少なくとも1回の注文毎に重複を問わず表示する意味はないと思います。

で、これ、納期とか予算とか会社の偉い人の思惑とかクライアント(メッセサンオー様)の思惑とかいろいろあって、いいやーこの仕様で作ってしまえーというある種「悪魔の誘惑」に屈してしまったのかなあと思ったのですが・・・・・・

やっぱりだめなものはだめです。



僕だってそりゃ、完全無欠のシステムに携わってきたかと言われたら、あんまり胸を張れるもんじゃないですけど、
それでも尽くせる手と出せる誠意はあると思います。
それが全然見られないんですもん。この作り・・・

カメラ以上にわかりにくい話ですみませんでしたが、
他山の石というか、自戒として書きました。


あ、あと、今この状態が治ってるかどうかはわからないですが、
変にのぞき込みに行くことはおすすめしません。
googleキャッシュにしたってメッセサンオーのサーバにしたって、アクセスログを取ってないということはないでしょうから。
(つーか普通にモラルの問題として。まあ僕も一度は見ちゃったけどorz)

4 件のコメント:

だち さんのコメント...

こんばんは~~(^^)
全く、ウィルスとかハッキングとか、困っちゃいますね~(・・;
いつも思うんだけど、こんな事をする労力を健全なシステム作成に使ったら、どんなシステムができるのかなぁっと(^^;

mai:pluie さんのコメント...

書き方が悪かったらすみませんが、今回の話はシステムの脆弱性ならびに、これよりも簡単に堅固にする方法なんか(今や)いくらでもあるのにそれをしていない
という話で、いわゆる「ハッキング」の話ではないです。

まあ確かに、そもそもくだんのURLを Googleが拾ったきっかけは何だったんだというのがあって、管理者のミスや「ハッキング」のために作られたプログラムによってGoogleが拾う場所 (掲示板とか)にURLを貼り付けた説を仰る方もいますが、
(プラス、GoogleツールバーやGoogle Chromeがブラウザの閲覧情報を勝手に吸い上げる説(汗))
http://netart.jp/blog/2010/04/post-20.html
そういうミスや悪意が問題だからといって、セキュリティをザルにしていい理由は無いと思います。
(まあ、↑でコメレスをいただいた通り、値段相応という問題は確かにありますけど。でも第三者の個人情報を扱うシステムなら何でもっと慎重になれなかったのかと)

#すみません。以前ITのお仕事をされてたというお話を聞いたつもりでレスしました。勘違いでしたら本当にすみませんが、最初の段落に要旨を書いたつもりです。あしからず。

だち さんのコメント...

こんにちは~~(^^)
すみません、このころ、弟からセキュリティ・ほにゃららの相談を受けてて、ごっちゃになったようです(^^;
もっとも、私は、汎用コンピュ~タ、オフコン等がメインで、PCはかじったくらいしか知識が有りません(・・)
晩年、PCシステムをやりましたが、基幹システムの設計だけで、運用上の細かいのは、餅屋に任せてました(^^;
ただ、必要に迫られ、VB、VC等のソースの変更をやる羽目になったことがありましたが(--;
ITと言うより、その前の前の世代の生き残りと言った方が正解かもしれません(^^;

mai:pluie さんのコメント...

コメントありがとうございます。

そうでしたか。いや、僕の仕事よりも数段専門的です(汗
僕こそ汎用系、オフコンは多少かじった程度、VBとデータ連携する部分を、ファイルのデータレイアウトを変更するか何かの理由でちょちょっとCOBOLでいじる機会があった程度です。

でも未だに汎用系は企業システムにとって重要であり、そのくせ古いという理由で使える後進が育ってなく、今後仕様変更や何かあったときに誰がさわれるんだというのは何年も前から言われてましたが、今どうなってるかは正直分からないです。好転してるとも思えないですけど。