パスワードを忘れた? アカウント作成
210566 story
セキュリティ

WEB インベンターのショッピングカートにアップデート版が登場 47

ストーリー by reo
DKHN 部門より

あるAnonymous Coward 曰く、

4 月 6 日のストーリー「メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」で話題になった、「WEBインベンター」のショッピングカートシステムだが、4 月 7 日付で「管理プログラムのセキュリティーの向上」と題したアップデートが出た。これによると以下の4つの対策がとられたという。

  • クッキーによるログイン方式。
  • 指定した IP アドレスからのみ管理プログラムにアクセスできる。
  • パスワードの暗号化。
  • メールフォームのスパム対策など。

このアップデートのお知らせには「新バージョンの管理プログラムのサンプル」が列挙されており、例えば「sample/SPF910/setup.cgi」で管理画面を試すことができるようになっている。お試し用の管理者パスワードが公開されており、それを入力するとログインできるのだが、Cookie にはそのパスワードが生のまま入るようだ。そうすると、「パスワードの暗号化」というのはいったいどういうことだろうか。

また、サンプルの会員管理画面には、テスト用の疑似個人情報のリストがあるのだが、そこから 1 人の会員を選んで、会員個別の情報の画面を開くと、会員のパスワードも生で保管されていることがわかる。しかも、その画面のURLは、member.cgi?entry_no=XX&ID_NAME=XXXXX&PASS_W=XXXXX&mode=renew1 という形式になっており、ユーザの ID のみならずパスワードまで URL に載せられてしまっている。はたして、このシステムは安全なものになることができるのだろうか。

水無月ばけらのえび日記の記事によると、ユーザが会員登録時に入力したパスワードや名前などの個人情報データも、全てそのまま Cookie に格納しているらしい。パスワードの暗号化というのはきっとサーバ側の話題なんじゃないかな ! つまり今までは平文で…。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2010年04月13日 11時55分 (#1747855)

    無料でガシガシ検証してくれるんだから、開発側としては結構おいしいのではないかと…
    お金払ってやってもらうと意外と高いし。

     疑問:ネットで悪評が広まるリスクは無いのか?
     回答:ネットの悪評を気にするような客層はそもそも相手にしていないので、心配はご無用です

    • by Anonymous Coward
      夏伊豆方式ですか?
      あっちはレビューではなくデバッグでしたが
      • by Anonymous Coward

        セブンアンドワイ方式でしょう

        これもデバッグか

  • >つまり今までは平文で…。

    いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?

    #中の人が中のURLを意図的に外に貼るか、Googleに手作業で登録するかしない限りは
    #起きない事件のような気がするけどな。

    • by Anonymous Coward on 2010年04月13日 11時49分 (#1747849)

      この件でどこかに書かれてたような気がするけど
      使用者のブラウザのツールバーなどで
      (設定によりますが)自動的にURLをクロールしていたりしますので
      普通にアクセスしてるつもりでクロールされている場合もあるんですよ。

      # 最低限GETでpassとか送るのはやめて欲しい

      親コメント
      • Alexaのツールバーはクロールするって言いますよね。ああ、書いちゃった。

        #挙動不審なのは同意。ああ、これも書いちゃった(爆

        親コメント
      • by Anonymous Coward
        どっちかというと、そういう挙動をするツールバーの方が問題あると思う
        cookieみたいにドメイン制限するとかできないの?

        #気持ち悪いのでその手のツールバーは使ってません
        • by Anonymous Coward

          両方とも問題あるでしょう。そもそもURLにパスワードが含まれるような設計になっていなければ、
          そのようなツールバーを使っていたとしてもこの件に関しては問題ないわけですし。

          もちろんその手のツールバーが気持ち悪いのは私も同じです。

    • URLに生のログインIDとパスワードを入れた状態でも、
      サーバに保存されたパスワードハッシュと比較して認証することはできます。
      また、サーバに菜パワスワードが保存されていなくても、クライアントから生パスワードを送らせる認証方法なら、
      折り返しURLやクッキーに生パスワードを入れることができます。
      ですから、

      > >つまり今までは平文で…。
      > いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?

      「サーバ側に生のパスワードを保存するかどうか」と、
      「クライアント側でURLに生パスワードを埋め込んだり、クッキーに生パスワードを埋め込んだりするかどうか」は、
      別の(直交する)問題です。

      URLに生パスワードが入っていると、検索エンジンに拾われるなど、特定個人のパスワードが流出される可能性があります(論外)。
      サーバに生パスワードが入っていると、利用者のパスワードがサーバ側から流出してしまう可能性があります。

      この二つは別な理由でヤッたらダメな話ではないかと。

      親コメント
      • 提案 (スコア:0, おもしろおかしい)

        by Anonymous Coward
        >サーバに菜パワスワードが保存されていなくても、

        今日いちばん光っていた発言賞とか作ってはいかがでしょうか?
      • by Anonymous Coward
        で、今回「URLに生パスワード」の方は、一部を除き改善されているようですが、「サーバに生パスワード」の方が……
        登録会員個々のパスワードは、すくなくとも一方向ハッシュを使っては無いようで、パスワードを知ることができるようになってます。
        「パスワードの暗号化」というのは復号可能な暗号化なのか、管理パスワードのみ暗号化なのか。
        たぶん、セッションが無いので、個々の会員情報を操作するのにパスワードが必要な作りなのでしょう。
        今後とも「ある専門家」様の活躍を期待したいところです。
  • by iwakuralain (33086) on 2010年04月13日 13時00分 (#1747935)

    引き回しの関係でURLにくっつけたりしますけどパスワードをそのままくっつけるってのは見たことないですね。
    でもプログラム書き始めの頃は似たような事やったこと(パスワードそのままはさすがに無いけど)あったな~

  • by sunnydaysundey (32697) on 2010年04月13日 13時24分 (#1747963)

    この件の利用者への謝罪のほうの話ですが、
    こちらのページによると謝罪額は5百円のクオカードだそうです。

    カオスな情報置場 - メッセサンオーは個人情報流出事件のお詫びに500円のクオカードを送るようです
    http://shakediary.blog93.fc2.com/blog-entry-2494.html [fc2.com]

    自分のエロゲ購入履歴が住所指名年齢電話番号付きで公開されて、
    「500円のクオカードあげるから許してね」とかブチ切れるだろ・・・

    これは納得しないだろうなあ。

    • Re:やっぱり(?)5百円 (スコア:4, おもしろおかしい)

      by Anonymous Coward on 2010年04月13日 13時58分 (#1747993)
      クオカードの絵柄によるね。
      親コメント
      • by firewheel (31280) on 2010年04月14日 0時03分 (#1748469)

        「全7種類、うちシークレット一種」くらいでがんばって欲しい。

        #あ、いやべつに俺が欲しいわけじゃないぞっ。

        親コメント
        • by Anonymous Coward

          コンプリートするには最低7回個人情報を情報流出させなきゃいけないんですか。
          # 流出経路もWinny, Gumblarと各種取り揃えております。
          ## 嫌すぎる…

          • by Anonymous Coward

            エロゲ購入だし、毎回使い捨てアカウントを作っては破棄という可能性はありやなしや。

            別の名前で別アカウントを取得していれば最強ですね。発送先住所がネックだけど、
            これもコンビニ受け取りがしていできれば同一人物の証拠にはならない。

    • by Anonymous Coward on 2010年04月13日 14時33分 (#1748030)

      でも、500円分のお好きな絵柄のQuoカードを差し上げます。

        絵柄一覧(いろいろもえもえーなえろえろーなの)

      だったら許してしまいそうになる気がする私(一応自分は流出は免れたけど)

      親コメント
    • by Anonymous Coward
      中途半端に現金や金券などを贈る位なら原因·経緯·今後の対策を入れた謝罪文のみの方が良いと思うんですが、どうなんでしょうね

      ソフトバンクと丸紅は悪しき前例を作ってしまったと思ってるのでAC
    • by Anonymous Coward

      ケータイの番号変えたんで2100円かかったんだけど。

    • by Anonymous Coward
      五千円の商品カードでした。おかげで、現在クレジットカードのカード番号を変更して、変更手続きの漏れを探しているところです。
  • by preliator (34473) on 2010年04月13日 11時56分 (#1747858)
    もうGETはやめるんじゃなかったんですかね(笑)
  • by Anonymous Coward on 2010年04月13日 11時03分 (#1747813)
    カードだと??
  • by Anonymous Coward on 2010年04月13日 11時08分 (#1747818)
    本日からWebインベンターのCGIは携帯電話専用となりました。PCからは個体識別番号が取得できませんのでご利用になれません。
  • by Anonymous Coward on 2010年04月13日 12時14分 (#1747878)
    素直にフリーとかオープンソースのショッピングカートを使うなりパクるなりした方が全体の底上げになる気がする。
    • 「フリーとかオープンソースのショッピングカート」……。
      これが意外に無いんですよね~。

      #Zen Cartで死んだことがあるのでID(-_-)

      親コメント
      • by Anonymous Coward

        日本人ならEC-CUBE使ってやれよ。

      • by Anonymous Coward

        ビジネスロジックに直結するために一般化が難しいのと、
        作るのが決して難しくないのでオープンソース化するメリットがないからでは。

        1、作り、検証するのは難しいけれど、
        2、多くのユーザーが同じ汎用モジュールを利用できる。
        ものにオープンソースはむいている。
        ショッピングカートはその正逆をいってる。

  • by Anonymous Coward on 2010年04月13日 12時23分 (#1747885)
    「パスワードの暗号化。」というのは、
    PASS_Wと書かずにKanShaDaと書くようにした事を指すんですよ。
    な、なんですってー???
  • by Anonymous Coward on 2010年04月13日 14時30分 (#1748024)

    タイトルを「WEBインベーダーのショッピングカート」と読んで、
    インベーダーゲーム風ショッピングカートシステムでも作ったのかと思ったら全く違った

  • by Anonymous Coward on 2010年04月13日 15時05分 (#1748059)

    これだから能力がないゴミには困る。
    最低でもセッション使えよ。
    もう少しがんばるならページ以降毎にセッションIDを変更する。
    これだけでもかなり違うのにパスワードをそのままクッキーに保存って何年前の仕様だよ。
    ゴミ開発者は淘汰されるべき

    • by Anonymous Coward

      セッション様ですね。ええ、ええ。

  • by Anonymous Coward on 2010年04月13日 17時25分 (#1748207)

    こんな能力がない開発者が起業できるんだ。
    みんな大丈夫だ。起業しよう。

    • by Anonymous Coward

      俺も元気でてきたよ!!

    • by Anonymous Coward
      ・素人から見た外見が良くて、その実装がダメダメのソフト
      ・素人から見た外見が悪いが、その実装が素晴らしく、簡単にカスタマイズできて外見を今風にできるソフト
      どちらが売れるかというと、前者なんですよね

      外面を簡単に変更できるように作り込んだからこそデフォルトは素っぴんで、なんていう美学は通用しない
    • そのURL中にないけどメッセサンオー以外にも管理パスワード漏れてるサイト [livedoor.jp]結構たくさんありましたよ。

      メッセサンオーの落ち度はパスワードを長期間変更していなかった事で、
      WEBインベンダーが賠償すべきだと思うんだな|;・ω・)

      しかしアップデート版の杜撰さも先週予想した想定内だった [livedoor.jp]のがなんとも…。

      親コメント
      • by Anonymous Coward
        賠償に関しては、メッセサンオーとWEBインベンダーの2者間の契約内容によると思うんですよ。

        もし、契約内容によらずに賠償責任がWEBインベンダーにあるという判決が出るのであれば、俺はフリーウェアの提供やめるぞ。
        • フリーウェアは契約書の直接のやり取りは無いですし、無償のものだから責任が利用者側にあっても仕方ないと思うんですが、これは『製品』で、有料で買ったものですから同列にはできないと思うんです。

          例えると、有償のアドレス帳管理ソフト買ったら、ソフトに欠陥があって、登録した人の個人情報が流出してしまった。
          ソフトの提供元は使い方に問題があったとして、ソフトの修正はするものの、ソフトの修正が終わるまで
          他のお客さんには一切連絡無し。でも、実際他にも利用者で個人情報が流出しているお客さんはいた。

          ソフトベンダーの対応が悪すぎた上に、使った人が悪いから登録した人たちから賠償しろって言われてるみたいな印象なんで酷いなぁと。

          親コメント
        • by Anonymous Coward

          メッセが訴えるとしたら民事の損害賠償だし、
          ソフトウェアの瑕疵による契約不履行(欠陥製品の納入)が争点じゃね?

          #個人的には詐欺(刑事事件)の可能性もあると思うけど。

  • by Anonymous Coward on 2010年04月16日 19時50分 (#1750013)

    4 月 7 日付で「管理プログラムのセキュリティーの向上 [wb-i.net]」と題したアップデート

    そのアップデートのエントリに追記がされているのですが、

    現在、プログラムの見直しを何度も繰り返しております。基本的な点は問題ないと思いますが、細かな修正点が出てくるものと思います。ついでに他の脆弱性がないかも調べております。そうした見直しが終了した時点で、新たな修正プログラムを含め、その旨を皆さんにメールでお知らせしたいと思います。ご理解のほどよろしくお願いいたします。

    【2010/04/15】セキュリティー強化版の見直しの終了。
    全体の見直しを行いました。上記のsale.cgiのバグを含めいくつかのバグを修正いたしました。 修正したプログラムは本日UP致しました。

    【2010/04/16】メルマガ送信のテスト送信完了画面で、送信内容のプレビューは改行されていませんが、実際のメールでは改行されています。(4 /16 4:00に修正済み-member.cgi、affiliate/aff_adm.cgi)

    セキュリティ強化見直し終了だそうですが、ここのタレコミで指摘されている問題は一切直されていません。

  • by Anonymous Coward on 2010年04月18日 17時42分 (#1750581)
    Webインベーダーってどんなゲームだよって思った。
    ブラウザゲーム? オンライン?
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...