パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」記事へのコメント

  • 「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」

    開発元の中の人はアホですか・・・?
    どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。
    わかってないんだろうな。

    --
    屍体メモ [windy.cx]
    • by Anonymous Coward

      そういえば某所で

      ・HTMLソースに <input type="hidden" name="password" value="password"> みたいな感じでパスワードを含めていたり
      ・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、管理者としてユーザ管理画面を表示できちゃったり

      なんてのも見たことあったなあ。
      ま、10年くらい昔の話ですが。

      さすがに今はもう、そんな牧歌的なセキュリティ意識で開発/運用してる会社なんかないでしょうけどね。

      # 無いと信じたい信じたい信じたい

      • by Anonymous Coward on 2010年04月06日 21時48分 (#1744488)
        >・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、管理者としてユーザ管理画面を表示できちゃったり
        >なんてのも見たことあったなあ。
        >ま、10年くらい昔の話ですが。
        私は今日も会社で見ましたし明日も会社で見ることでしょう・・・

        それ以外の我が社のシステム(一部)
        1、情報検索ソフト
        →ソフトウェア起動時にパスワードが必要だがini(当然プレーンテキスト)ファイルに
        平文で生パスワードが保存されている、ハードディスクがFAT32フォーマットなので
        アクセス制限すら無い、尤も表示するデータがパスワード無しでフルアクセス可能なサーバ上に
        プレーンテキストで保存されているのでパスワードどころかソフト自体存在意味が殆ど無い
        ちなみに扱うデータは顧客の個人情報含んだファイル、ご丁寧に端末にはUSBとDVD-Rとプリンタが使用可能です
        中小企業では無く超大企業が納入

        2、販売発注配送管理ソフト
        →通常のセキュリティとアクセス制御だと思われる
        但しoutlookのパブリックフォルダにマスターパスワードが公開されている

        3、販売発注配送管理ソフト(2のソフトとは別物)
        >・一般ユーザーでログインしてても、ユーザー管理画面の URL と管理者の ID を指定すると、
        >管理者としてユーザ管理画面を表示できちゃったり
        正にコレ、と言うか1部署でほぼ似たり寄ったりの業務なのに2つのソフトを使い分ける必要が・・・

        一応全てのシステムが外部に直接繋がっている訳では無いのがまだマシな方ですが・・・

        それ以外にもお粗末なシステムや運用が大量にあるのですが書きすぎると特定されそうなので・・・
        親コメント
        • by Anonymous Coward on 2010年04月06日 23時29分 (#1744559)

          > 中小企業では無く超大企業が納入

          <導入側の(ユーザーの)言い分>
           そのくらいのセキュリティは言われなくてもやるのが当然だろ!
           常識考えろ!

          <納入側の言い分>
           要件書にないものがあるわけないだろ常識考えろ!
           コンサルまでやってほしけりゃ、その分金出せ!

          ・・・ではないでしょうか?

          親コメント
          • by Anonymous Coward

            単なる特注のシステムならともかく、セキュリティって利用者の想定を越えたところにあるものだから、請け負う側で対策できないとダメだよね。
            まあ、そういう僕はセキュリティ対策なんて出来る人間ではないですが。

            でも、内部システムって、普通甘々じゃない?
            人間系も含めて、費用対効果の問われるところだよね。

            • by Anonymous Coward

              >でも、内部システムって、普通甘々じゃない?

              「普通」ですと?……(´・ω・`)

              流出事件って内部犯行がけっこう多いですよね。
              中の人しか使わなくても油断しちゃ駄目ですよう。

            • by Anonymous Coward

              その辺のコミュニケーションコストを減らすために、「非機能要件についてはIPAの××ガイドラインに従うこと。なお、具体的な指示・指定を必要とする場合は、別途定めるQA票で当社に確認すること」とか書ける世界になってるとお互いハッピーですね。

日々是ハック也 -- あるハードコアバイナリアン

処理中...