Mozilla開発者などの情報7万件以上が流出した可能性 12
ストーリー by hylom
気を付けましょう 部門より
気を付けましょう 部門より
あるAnonymous Coward 曰く、
Mozillaの開発者向けサイト「Moziila Developer Network」に登録しているユーザーのメールアドレス約7万6000件や約4000件のハッシュ化されたパスワードが、一般にアクセスできるサーバー上に置かれていたことが判明した(Mozilla Security Blog、ITmedia)。
6月23日から30日間に渡って、データベースのデータをサニタイズするプロセスに不具合があったことが原因の模様。現時点では公開されていたデータは削除されているとのこと。
追加情報 (スコア:1)
MDN Database Disclosure | Mozilla Security Blogの抄訳
MDN データベースの情報漏洩について | Mozilla Japan ブログ
http://www.mozilla.jp/blog/entry/10418/ [mozilla.jp]
Personaではなく旧MDNのパスワードで、ソルトはユーザ毎に異なっていた
https://twitter.com/marsf/status/495951346445463553 [twitter.com]
https://twitter.com/dynamitter/status/496141458890448896 [twitter.com]
サニタイズ? (スコア:1)
> データベースのデータをサニタイズするプロセス
誤訳だと思ったらソースがそうだった。
正しくはたぶんSQLエスケープ処理ですよね。
「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな
Re: (スコア:0)
HTMLじゃなくてSQLだよね。
でもHTMLで入れてるんかな?それにバッチだし。
リンク切れとか各国語版の整合とかもしかすると不適切な表現とか、そういうののチェックという可能性も。
「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな
これはちょっと意味わかんない。もしかして入出力時の処理じゃないからとかそんな話?
Re: (スコア:0)
HTMLじゃなくてSQLだよね。
おっと、「SQLじゃなくてHTMLだよね。」のまちがいだw
データベースにSQLいれてどうするんだとwww
Re: (スコア:0)
データベースのデータってなんだよw
メアドでは無いと思うけど。。
Re: (スコア:0)
MDNはCMS使ってます。データベースのデータってのはCMSのデータでコンテンツそのものです。
で、使ってるCMSなんだっけと探してようやく謎が解けた。
https://developer.mozilla.org/en-US/docs/MDN/About#Download_content [mozilla.org]
If you want to download a complete, anonymized SQL dump of the MDN database -- that is, a copy of the database with all private user information scrubbed out, we provide that as well. This dump is updated on the
Re: (スコア:0)
SQLの検証はパラメータライズドクエリ使え、で話は全て完了するんじゃないかな。
(プリペアドステートメント? プレースホルダ? 呼称がいくつもあるのも普及を妨げている原因の一つだと思う)
というか、基本そっちが推奨のはずで、話題にすら出ないのがびっくり。
いつまでSQLにエスケープ処理って言葉が残るのだろうか。
動的にテーブル名変えるSQLとかなら仕方ないが、そういうのはそもそも仕様から直した方が良いと思う。
#初心者が見ると、文字列結合してSQL自前のラッパクラスで検証する方が楽に見える様だ。
#パラメータライズドクエリのが全然楽なのに。
サニタイズ言うな! (スコア:0)
T/OったらT/O
Re: (スコア:0)
アニヲタカス無職と言えとw
インシデント? (スコア:0)
駄目だこれは
Re: (スコア:0)
FirefoxOSとかつくって開発者さんよろしくーってタイミングでこれは……
Re: (スコア:0)
Mozillaは開発者情報までオープンです!という話では?(違)