10/04/05 00:44:36 VAax4gU/0
>>42
CGI構築用のライブラリのなかには
GETリクエストとPOSTリクエストを区別しないものがある
そのようなライブラリを使って作ったCGIでは>>37のようなURLでもログイン出来てしまう
素人はそれを「便利だ」と思ってしまうかもしれない
無知な営業はそれを積極的に売り込むかもしれない
45:名無しさん@十周年
10/04/05 00:52:41 IsC0MG0a0
>>29はアホなの?w
46:名無しさん@十周年
10/04/05 00:54:52 IsC0MG0a0
で、結局最低限BASIC認証さえしていれば
この事件は防げたのかな・・。
これだけだと不安かもだけど・・。
47:名無しさん@十周年
10/04/05 00:56:42 VAax4gU/0
売り物なんだから最低限じゃ困るよw
そんな客が自衛しなきゃならないようなもの
48:名無しさん@十周年
10/04/05 00:58:40 Sn5X3wGq0
>>46
このパターンの流出は防げたな
49:名無しさん@十周年
10/04/05 01:01:12 Sn5X3wGq0
>>44
掲示板ですら区別しているのがほとんどなのにな
GET使うのは検索エンジンぐらいだろ
50:名無しさん@十周年
10/04/05 01:04:07 7HenJj3H0
>>1
ああやっぱり。
気のせいかと思ってたけど、恣意的だったんだ。
51:名無しさん@十周年
10/04/05 01:11:07 krmvyeKD0
ん?
もしかして今回の件ってメッセサンオーの管理者が馬鹿だったんじゃなく
外注したシステム製作者の落ち度なん?
52:名無しさん@十周年
10/04/05 01:11:51 JRtLaK/y0
コムショップ愛用の俺にはかすりもしていないが
ご不幸に見舞われた方々には哀悼の意を表明したい
53:名無しさん@十周年
10/04/05 01:14:24 VAax4gU/0
>>49
そうでもないよ
ログイン画面はPOSTだけを使うのが常識だけど
例えば商品情報のページなんかはお気に入りに登録出来たほうが便利だろ?
だから積極的にGETを使うこともある
気の利いたフレームワークならもっと柔軟にURLからオブジェクトへマッピング出来るから
GETだのPOSTだのを意識する必要があるのは古い技術だと言えるけどね
54:名無しさん@十周年
10/04/05 01:17:53 JRtLaK/y0
>>51
外注というか、vecterで落とせるフリーウェアレベル
・システムがゴミ
・googleのツールがやばい
・管理者がアホ
・対応の遅れたメッセサンオーの責任(露見から長時間放置)
・被害者の運がない
この組み合わせが悲劇を呼んだ
55:名無しさん@十周年
10/04/05 01:18:02 VAax4gU/0
>>51
外注したわけじゃなく出来合いのCGIを買ったんでしょ
素人が出来の悪い製品を買って大失敗という構図
56:名無しさん@十周年
10/04/05 01:18:24 eNCIqGeP0
営業は自分たちがやって、実作業は半島現地のキムチに丸投げする会社もあるからなぁ
57:名無しさん@十周年
10/04/05 01:18:25 bcUyynhY0
WEBインベーダー
なるほどと思ったが、インベンターだったな
58:名無しさん@十周年
10/04/05 01:20:23 7RJus9bd0
今回の事はwebサイト開発に半年も携わっていれば防げた事例だもんな
59:名無しさん@十周年
10/04/05 01:20:29 qUqX8KQ/0
>>54
なぜか2ちゃんに書き込んだ第一発見者を忘れてるぞ
60:名無しさん@十周年
10/04/05 01:22:53 H9XYiohy0
で、結局原因はなんだったんだ?
61:名無しさん@十周年
10/04/05 01:23:49 VAax4gU/0
>>59
2chに書くのは基本だろ
下手にメッセにタレこんだりしたら逆に訴えられてタイーホの危険がある
JPCERTとかに報告するのも通報者を守ってはくれないのでやめたほうがいい
62:名無しさん@十周年
10/04/05 01:24:54 eSIMvEhm0
そもそもどうして流出したんだっけ?
63:名無しさん@十周年
10/04/05 01:26:08 VAax4gU/0
>>60,62
エロゲのやりすぎには注意しろってことじゃね?
64:名無しさん@十周年
10/04/05 01:26:14 CT5PN2cP0
こういう事態の為にも緊急連絡窓口欲しいよな
最大手のソフマップでも営業時間以外には連絡取れないだろう
65:名無しさん@十周年
10/04/05 01:29:19 7RJus9bd0
>>60
素人が作った自前のwebサイトみたいなセキュリティ概念の甘さと
共通のパスで管理しようとする等の管理側の甘えと
発見した事を2ちゃんに書いた馬鹿の甘さ。
第一発見者は一度メッサンオーに連絡して数日待つぐらいの優しさが必要だった。
問題はこの手の連絡した第一発見者に取り調べがあったりして社会的に優しさが無い事だが。
66:名無しさん@十周年
10/04/05 01:31:18 NSUDEAWs0
>>51
それなりに高額な金払ってシステム発注してるならともかく、
ネットで仕様公開してるような(廉価な)出来合いのモノをちゃんとセリュリティ
云々のチェックとかしないで使ったならメッセサンオーの責任が方がはるかに大きい
と思うんだけどどうなんだろうね。
67:名無しさん@十周年
10/04/05 01:31:48 VAax4gU/0
>>58
半年どころか10年やってても問題意識を持たなければ何も身に付かない
>>64
そんなレベルの話じゃないと思うけど
そもそもセキュリティ意識もリスク管理も皆無だったから起きた事故なわけで
68:名無しさん@十周年
10/04/05 01:34:17 GHZuxrqO0
この程度のスクリプトは大学生の就活前の予習レベルだろ。
買わされた方は結構な値段出したんだろーな。カワイソス。
69:名無しさん@十周年
10/04/05 01:34:50 6F11Hfef0
>>6
そこのスーパーラージにはお世話になっているよ。
70:名無しさん@十周年
10/04/05 01:36:53 JRtLaK/y0
まあ祖父やアマゾンで買っとけばとりあえず安全だ
万一そこから流出したらエロゲオタどうこうっつーかエロDVDその他諸々も流出するから
数十万数百万の性癖の中に埋もれる
71:名無しさん@十周年
10/04/05 01:40:24 OP3Nedbf0
googleうざすぎだろ常識的に考えて
72:名無しさん@十周年
10/04/05 01:40:32 VAax4gU/0
>>70
知り合いにおまえの名前で検索かけられたら終わりじゃん
どこの人事でも面接の前に希望者の名前でググるくらいはやるよ
73:名無しさん@十周年
10/04/05 01:46:27 04fgSK450
つか関係してるくせに自社TOPページになにも出さない時点でブラック
74:名無しさん@十周年
10/04/05 01:49:55 VAax4gU/0
考えてみれば今時のブラウザなら
ロケーションバーにURL打ち込んだ時点で情報がgoogleに送られちまうから
>パスワード付きのURLを一時的にもホームページで公開しないようにしてください。
ってのは無意味だろ
75:名無しさん@十周年
10/04/05 01:50:32 H9T1VDYz0
うわこれ外注だったのか。
10年ぐらい前の学生バイトの自作とかだと思ってた。
76:名無しさん@十周年
10/04/05 01:53:14 Rq8OcPjmO
かつてない燃料なのにいまいち炎上しない
被害者がお前らだからか、
77:名無しさん@十周年
10/04/05 01:55:14 15qIKqs50
>>76
ヒントは規制
78:名無しさん@十周年
10/04/05 01:56:45 JRtLaK/y0
炎上しすぎて規制中なわけだが
79:名無しさん@十周年
10/04/05 01:57:46 7RJus9bd0
>>76
エロゲを買った奴らの個人情報が流出するニュースって
TVでは一週間も続けられるほど人気なネタなの?
80:名無しさん@十周年
10/04/05 01:58:04 OP3Nedbf0
>>76
被害者には何の非もないからじゃないかな
かわいそうだから騒いでやるなよと同情的に見てる人が多いんだと思う
81:名無しさん@十周年
10/04/05 02:06:23 FemJ86un0
管理者用パスワードってrootpassと決まってるんでしょ?
82:名無しさん@十周年
10/04/05 02:11:44 NSUDEAWs0
>>74
Googleに限らず今どきのブラウザはマルウェアやフィッシング対策で
URLをサーバに送ってるからね。IEやFirefoxとかも一緒。
83:名無しさん@十周年
10/04/05 02:24:07 Ls8nq4Y10
>>19
正しい&間違いのパスワードを入力したら
その書いたパスワードを含むURLに移動。
正しい=目的地のURL
間違い=存在しないURLなのでエラー
かな?JAVAスクリプトを応用したパスワード認証なら笑える。
84:名無しさん@十周年
10/04/05 02:28:15 hfW/W/SN0
まあ、明るみに出ても困らない買い物なら問題ないだろう。
85:名無しさん@十周年
10/04/05 02:34:04 qr69493R0
>>70
キモオタちゃんその認識じゃ危ないぞ☆
86:名無しさん@十周年
10/04/05 02:39:23 JRtLaK/y0
問題ねえって、変態を隠すなら変態の中だ
被害者多数なら開き直りでジャスティス
87:名無しさん@十周年
10/04/05 02:44:54 kD1J9VTx0
今回エロゲでたまたま注目集めただけで実はこの手のスプリクトの穴は多い。
2ちゃんねるも一時期は穴だらけだった。
88:名無しさん@十周年
10/04/05 02:50:50 nCzb83bp0
>>86
まぁ今回のはただ流出しただけじゃなくて
誰でも気軽に名前なり住所なりでググるだけでヒットしたってのがやばかったからな
しかもキャッシュだからメッセのサイトに直接侵入することにもならないし
89:名無しさん@十周年
10/04/05 03:11:50 bcXQr47X0
>>84
お前アホだろ…
買ったものが何であれ個人情報が流出したことに問題があるんだよw
90:名無しさん@十周年
10/04/05 03:24:58 dL+6l2dv0
のんびりのんびりキニシナイキニシナイ(^。^)y-.。o
91:名無しさん@十周年
10/04/05 04:41:13 wysukPoU0
へー
URLリンク(web.archive.org)
92:名無しさん@十周年
10/04/05 08:10:01 ajtEtw+80
>>90
若いな(^^ゞ
93:名無しさん@十周年
10/04/05 08:36:15 hx3oMgNPP
>>37
これ、出会い系とか掲示板に良くあるよね。
94:名無しさん@十周年
10/04/05 08:42:07 Nu5OtMxnO
>>93
出会い系からの勧誘メールのURLがこんな感じだったりする。
「誰がリンクを踏んだのか」を特定できるように。
悪質なタイプだと、怪しげな規約に「同意する」のリンクだったり。
95:名無しさん@十周年
10/04/05 08:42:11 Nu5OtMxnO
>>93
出会い系からの勧誘メールのURLがこんな感じだったりする。
「誰がリンクを踏んだのか」を特定できるように。
悪質なタイプだと、怪しげな規約に「同意する」のリンクだったり。
96:名無しさん@十周年
10/04/05 08:44:34 BFV6WM+m0
採用サイト削除した時点で更に信用落とすだけなのに
97:名無しさん@十周年
10/04/05 08:48:43 b+W4f1er0
やはり一番の最強はすべてのポートを閉じて超能力でインターねっと接続できるシステムが最強ですね
98:名無しさん@十周年
10/04/05 08:50:23 kb7bH07A0
むしろ採用してるところが対策し終わるまでは
隠しておいてもらわなきゃ困るだろ
99:名無しさん@十周年
10/04/05 09:23:49 Nu5OtMxnO
>>80
ケツ毛バーガーであんだけ盛り上がってた時点で
「被害者にはなんの非もないから」とか「騒いでやるなよ」とかないわ。
「自分たちが当事者だから」以外に理由なんかないでしょ。
100:名無しさん@十周年
10/04/05 09:27:08 hGdT4rD00
コストをけちるあまり素性の知れない会社のシステムを採用する時点で採用会社も知れてるな
101:名無しさん@十周年
10/04/05 09:47:11 8qtWW9Ob0
>>1のキャッシュが見られないんだけど気のせい?
102:名無しさん@十周年
10/04/05 09:53:37 Tdiu6fwdP
>>99
オレは盛り上がってねーぞ
103:名無しさん@十周年
10/04/05 10:02:27 scdULhrk0
漏洩というかこのケースの場合、露出狂の類いだろ。
こんだけ自らまる見せしといて「クロールされた」とかどんだけムダに上から目線なのよ
104:名無しさん@十周年
10/04/05 10:15:09 KFqtaXG70
すこし前に
携帯画像投稿サイトの
画像ディレクトリがパソコンから丸見え状態になってて
2ちゃんねるで必死に発掘作業祭りになっててワロタことがあったわwww
ニュースになってないけど
アレも流出してんだろうなーwwww
105:名無しさん@十周年
10/04/05 10:17:27 rQifkAZD0
>>9
うわー
花hana-はなはな- って陶器屋?陶器屋だったら死亡だわー
106:名無しさん@十周年
10/04/05 10:28:12 gg2R8Yco0
>>54
元データのcsvまで公開サーバ上にあって丸見えだったそうじゃん。
107:名無しさん@十周年
10/04/05 10:40:38 pfd1Y2kn0
>>104
利便性のためにインデックス公開してるサイトは沢山あるよ。
108:名無しさん@十周年
10/04/05 10:40:45 0LWr5dCO0
流出して焦ってるヤツの中に
ケツ毛で散々笑ったり、他人の不幸を喜んだやつ
がいるなら、そいつに限っては可哀想じゃないな。
そいつにメシウマ厨を喜ばせるお鉢が回ってきただけ。
109:名無しさん@十周年
10/04/05 10:41:10 c/ZA5zg50
345 名前:名無したちの午後[] 投稿日:2010/04/05(月) 03:19:36 ID:cxoI3abBO
お客様各位
拝啓、
日頃は弊社PCゲーム館の通信販売をご利用頂きまして誠にありがとうございます。
早速ではありますが、掲題の件につきましてご連絡させて頂きます。
弊社の調査の結果、お客様の個人情報が漏洩していたことが確認されました。
漏洩した内容は、氏名、メールアドレス、パスワード、性別、住所、年齢、生年月日、携帯電話番号、一般加入電話番号、注文商品の一部(購入履歴)となります。
再度のお願いになりますが、パスワードを他社でも共通で使用されているお客様は、安全面の観点から、お手数ですが他社のパスワードの変更手続きをお取りくださいますようお願い致します。
些少ではございますが、4月12日より順次、 500円のQUOカードをお送りさせて頂きます。
尚、現在は更なる漏洩防止のためサーバーを休止し、引き続き検索エンジン等の履歴やキャッシュの削除要請、2次流出の監視を行ってまいります。
今後、最新の進捗状況につきましては随時、弊社ホームページ上にて掲載させて頂きますので、ご参照ください。
URLリンク(www.messe-sanoh.co.jp)
この度の不祥事につきまして心よりお詫び申し上げます。
敬具
110:名無しさん@十周年
10/04/05 10:45:09 4iQvZsO+0
>>12
たま出版も使ってるんだw
ポッポの個人情報でも流出しないかなww
111:名無しさん@十周年
10/04/05 10:58:02 +ePAcZDsP
QUOカードもらえてよかったなwwwwwwwwwwwwwwww
112:名無しさん@十周年
10/04/05 11:04:33 xCsZuc5o0
彼らはネット通販の危険さに警鐘を鳴らすため人身御供になったのだ…!!
113:名無しさん@十周年
10/04/05 11:10:32 zlt7y0vn0
お前らの個人情報なんて500円で十分だろってことですね
114:名無しさん@十周年
10/04/05 11:19:36 1ewIzF+G0
>>109
ランダムに100円くらいの定額小為替や切手とか送ったら・・・犯罪になる?
115:名無しさん@十周年
10/04/05 11:29:15 XOK9lnZ10
実際の使用サイトは、スレに貼られた企業サイト名x5だからね。
中小の通販サイト使っていて怖いと思った人は、残りの分も調べてみるといいかも
116:名無しさん@十周年
10/04/05 11:29:16 bAyEzj2d0
今の大規模規制はこの馬鹿どもが原因なんだろ
117:名無しさん@十周年
10/04/05 11:31:20 dbHrL4oRP BE:3282619687-2BP(0)
実際の結果に当てはまるか判らないけど、
URLリンク(shakediary.blog93.fc2.com)
という算定方法もあるらしい。
納得出来ないやつはクオカード送り返すくらいの意思表示をしたほうがいい。
まぁ文句の出にくいような絵のクオカードを発注するくらいは、メッセもするだろうけど
118:名無しさん@十周年
10/04/05 11:34:28 L1ibfwwe0
トップページを開くとまず真っ先に白人スーツ男性の笑顔が出てくるサイトは、すべて地雷
119:名無しさん@十周年
10/04/05 11:37:11 XOK9lnZ10
>>114
法的には面白い論議できそう。法学者の解釈割れると思うよ。
『ニュースと公開情報で事件を知り、被災見舞金として送った』と、
悪意を表ざたにせず善意っぷりのみをアピールすれば、大丈夫な割合高そうと思う。
120:名無しさん@十周年
10/04/05 11:52:20 +ePAcZDsP
注文したエロゲのパッケージデザインしたQUOカード送ればいいよw
121:名無しさん@十周年
10/04/05 12:14:23 w6Rmeqwo0
>>1
採用サイト集がごっそり消えてるw
122:名無しさん@十周年
10/04/05 12:22:25 UroCLvfBP
そもそも論としてURLにパスワードを載せちゃいけない
123:名無しさん@十周年
10/04/05 12:29:53 fEWO+ZIi0
他のサイトだと流失してないな。検索しても引っかからない
メッセの管理がよほど杜撰だったんだろう
124:名無しさん@十周年
10/04/05 12:30:02 JbsAC0ci0
>>122
パスワードはもちろんのこと、メールアドレスも良くないと思う
一意に識別できるので、主キーとして利用されること多いけど、
今回のシステムのようにURLのパラメータにしちゃうと、
メールアドレス流出のもととなる
125:名無しさん@十周年
10/04/05 12:33:55 JbsAC0ci0
>>123
メッセの管理が悪かったのは言うまでもないが、
他のサイトでもかなりやばい状態だったと思う。
キャッシュにまでは載っていなくても、
インデックスに引っ掛かっていたサイトはある。
気づいた人がいて、管理者に連絡していたみたいだから、
応急処置的なことはやっているだろうけどね
126:名無しさん@十周年
10/04/05 12:37:29 hx3oMgNPP
このシステムを開発した彼、今どんな気持ちでこのスレ見ているのかなー?
127:名無しさん@十周年
10/04/05 12:38:28 iuR7XcNK0
>>500円のQUOカードをお送りさせて頂きます
WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
128:名無しさん@十周年
10/04/05 12:45:24 w6Rmeqwo0
被害が無くても賠償したケース
IBM が神奈川県立高校に在籍した生徒 11 万人の銀行口座番号をネットに流出させてしまった事件(2008 年 11 月発覚)では、 2009 年 9 月 28 日、日本 IBM が約 1674 万円を神奈川県に賠償することになりました。
これまで被害は確認されていませんが、内訳は、県職員の時間外勤務手当など 1374 万円及び違約金300 万円となっています。
また、今後も県や生徒・保護者が損害を受けた場合は IBM が賠償するとしています。
space
このケースでは、後日、流出した個人情報を Share ネットワークに再放流した者がおり、著作権法違反容疑で逮捕されています。個人情報保護法は個人の過失を問うことができないので、当該個人情報が IBM の著作物であると見なして容疑を固めたもの。
しかし、この放流者は釈放後に起訴状をアップロードし、検察官に対しては「次回は著作物が混ざらないようにクリーニングした上で漏えいさせる」と言って出所したといいます。
* 「悪意ある放流者は追い詰める」日本 IBM が Share 流出を振り返る(INTERNET
URLリンク(www.pahoo.org)
129:名無しさん@十周年
10/04/05 12:50:35 FEB4tIZp0
商品説明に付けたリンクを編集画面から踏んでリファラで漏れたって所かな。
130:名無しさん@十周年
10/04/05 12:51:13 Z1UovCeV0
>>128
それは神奈川県とIBMでの契約に係る違反事項が賠償の対象だろう
第三者委託の禁止とか、行政から見た個人情報保護に関する対応とかだろう
131:名無しさん@十周年
10/04/05 12:52:07 hx3oMgNPP
Yahoo!BBの時も500円だったよ。相場なのかな?
132:名無しさん@十周年
10/04/05 13:02:47 h5ZN0t8g0
>>109
これはQUOカードを受け取らずに、少額訴訟とか
ちゃんと集団訴訟を起こすべきだな
ほとんど全ての個人情報が漏れてるし、500円で済まそうって態度は最悪
133:名無しさん@十周年
10/04/05 13:06:33 gpdXBWt20
>>109
>500円のQUOカードを
エロゲー買う奴のプライバシーは500円の価値なのかw
134:名無しさん@九周年
10/04/05 13:08:01 ZwqJGmV10
>>131
Yahoo!BBが500円で済ませたから、それから500円が相場になったんじゃなかったっけか。
ところで>>109ってネタじゃないの?
135:名無しさん@十周年
10/04/05 13:21:42 JThGvjSS0
よりによってエロゲー購入者の個人情報だからな…
流出した客に連絡しなきゃいけないんだろうが、
これまた連絡で家族にばれたら2重被害になりかねず
客に損害賠償訴えられてもいいレベルw
というか住所名前電話番号生年月日まで割れると
結構ヤバいんだが…これ、どうするんだ?
136:名無しさん@十周年
10/04/05 13:21:45 uqDXbxXl0
個人情報漏洩の損害賠償額の相場は、1万5千円~2万円だったはず。(何かの判例)
500円が不満なら集団で損害賠償訴訟起こしちゃいなよ。
弁護士を通して交渉すれば上記の額で和解となると思われ。
個人で訴訟したら、元は取れない。
137:名無しさん@十周年
10/04/05 13:24:51 jHGYgYLm0
>>136
裁判の準備と裁判自体にかかる時間、さらに精神的疲労を考えると
明らかに、ものすごく大赤字だな。
138:名無しさん@十周年
10/04/05 13:26:57 Ta+35S9+P
どっかで聞いた名前だとおもったら、うちの通販サイトのスクリプト販売してた会社じゃん。
さっきメール北よ。
★★個人情報流出の事故に関するお知らせ★★WEBインベンター
(略) 様
このメールは重要なお知らせのため、メルマガを解除されておられる方にも送信しています。
当社のカートをご利用になられていないのであれば必要ではないので、このメールを削除し
てください。迷惑メールとなりましたらお許しください。
最近、当社のカートを利用しているお店様で個人情報流出の事故が発生しました。原因を
調査中ですが、ショッピングカートが何らかのスパムアクセスの攻撃を受けたと考えられます。
それで、早急にショッピングカートのセキュリティーを向上させる必要があります。詳しくは、
下記のページにその対処方法を記載いたしましたので、問題が生じないうちに対策を講じら
れるようにお願い申し上げます。
(略)
139:名無しさん@十周年
10/04/05 13:28:58 Z1UovCeV0
>>138
やっぱり日本語に少し不自由してる文面だな
140:名無しさん@十周年
10/04/05 13:30:12 JbsAC0ci0
>>138
>ショッピングカートが何らかのスパムアクセスの攻撃を受けたと考えられます。
何だこれ?
被害者的な言い分に思える・・・
141:名無しさん@十周年
10/04/05 13:32:18 wyd5mPJ30
ビジネス文書で「それで」ってのもなかなか
142:名無しさん@十周年
10/04/05 13:32:42 qlh3LJpK0
メールマガジンを解除しても個人情報を消さないんだ
アホが何をやってもボロが出る
143:名無しさん@十周年
10/04/05 13:33:29 TlG+eiOyP
>>136
エロゲ買った野郎同士で訴訟、しかも家族バレ
144:名無しさん@十周年
10/04/05 13:37:41 JbsAC0ci0
>>138
はてなブックマーク
URLリンク(b.hatena.ne.jp)
これ以外にも、関連記事が書かれた最近のブログなどを検索してみて下さい
今後とるべき対策がわかると思う。
145:名無しさん@十周年
10/04/05 13:42:56 +ePAcZDsP
こんな業者に頼むような奴にはこの対処法、ハードル高くないか…?
146:名無しさん@十周年
10/04/05 13:43:39 oc3pHlX00
>>144
使用システムをもっとマシな余所のものに変える。
ここからだろうな。
147:名無しさん@十周年
10/04/05 13:44:15 zsqyvLEs0
外人の写真が出てる辺りめっちゃ怪しいサイトだなw
148:名無しさん@十周年
10/04/05 13:45:03 7dw8Ze870
ハナからエロゲに興味のない奴が勝ち組。
149:名無しさん@十周年
10/04/05 13:46:50 I7ugr09Q0
昨日、おとといは苦情いいに来たやつ何人か見たな
150:名無しさん@十周年
10/04/05 13:47:35 oc3pHlX00
>>142
販売情報から過去の販売相手に送るのだろう。
こういった用途の所なら、それができないと被害が広がり続けて収拾できない。
文面的に”メルマガ登録していない方にも”だろうけど。
151:名無しさん@十周年
10/04/05 13:49:37 T9oIBWLmP
>>129
第三者がリファラを読めるのか?
どんなシステムだ?
152:138
10/04/05 13:53:00 Ta+35S9+P
ちなみにうちが購入設置したときは、
他に職業があるかたの副業的、個人営業だったと思う。
サポート掲示板に質問書いても、ほとんど回答なかった。
システムを改造しやすかったので、すごく古いバージョンのまま、まだ使ってる。
153:名無しさん@十周年
10/04/05 13:54:30 +GPVtuFH0
>スパムアクセスの攻撃
えーっと・・・
154:名無しさん@十周年
10/04/05 13:59:18 I7ugr09Q0
VIPPERは206年に発見していた
155:名無しさん@十周年
10/04/05 14:01:22 1ewIzF+G0
>>154
大化の改新の400年以上前か
さすがVIPER
156:名無しさん@十周年
10/04/05 14:06:59 JbsAC0ci0
>>154
>>155
諸葛孔明の時代やなw
赤壁の戦いの2年前か
日本だと卑弥呼ちゃんとかの時代かw
>さすがVIPER
蛇?
157:名無しさん@十周年
10/04/05 14:18:51 yigTSPJm0
ええなぁ、こんなんでも金稼げるのかぁ
やっぱ技術力は要らないんだな、営業力があり良心が無ければ金になるんだなぁ
158:名無しさん@十周年
10/04/05 14:26:58 I7ugr09Q0
その時の記録を見るとコピーエロDVD屋などが多くメッセは自分は無関係だと思っていたのだろう、もしくは開発側も対処を取らずに営業を続けていた
スレリンク(news4vip板)
ここにあるサイトは閉鎖や対策済み
159:名無しさん@十周年
10/04/05 14:29:46 JbsAC0ci0
うはww
160:名無しさん@十周年
10/04/05 14:36:57 GQos2B110
>>91
グーグルは消されたし魚拓だとリスト1しか見れないみたいだけど
Internetarchiveだと採用リスト4まで見られるな
削除するのに時間がかかるんだよなあそこ
161:名無しさん@十周年
10/04/05 14:40:24 2iTZSRGc0
メッセも馬鹿だな
500円のQUOカード配って火に油注ぐくらいなら黙ってほっとけばいいのに
訴訟起こす奴がいるとしても極少数だろうから圧倒的にそっちの方が得
運が良ければ何も払わなくて済む
162:名無しさん@十周年
10/04/05 14:48:22 1ewIzF+G0
500円は受け取っちゃったら終りだねwww
受取拒否しないと
163:名無しさん@十周年
10/04/05 14:58:19 xndWKE1h0
>>138
なにそのフィッシングメールの文面
164:名無しさん@十周年
10/04/05 15:04:00 JbsAC0ci0
今さっき、NHKのニュースで、
高島屋の顧客名簿紛失による個人情報漏えいやってたけど、
メッセサンオーの件ってTVとかでやってないよね?
この扱いの差はなんなんだ?w
165:名無しさん@十周年
10/04/05 15:09:56 gZ5skRAL0
知名度
166:名無しさん@十周年
10/04/05 15:12:14 pLngUlkGP
>>164
高島屋に買いに来る一般人>>>(超えられない壁)>>>メッセで買っちゃったヲタ
だからしかたない。
すくなくとも一般的にみたら
167:名無しさん@十周年
10/04/05 16:15:09 e9bZf2050
情報漏えいしたユーザが最も可哀相なのは言うまでもないとして、だ。
W社の糞スクリプトの品質の責任を100%メッセが負わないといけないのか、てのは疑問だな。
メッセはW社訴えて、そこで受け取った賠償金をユーザへの賠償に充てるべきだな。
168:名無しさん@十周年
10/04/05 16:16:47 HdYyVd3K0
同じプログラム使ってるとこってさ、
ディレクトリ構成とかログの場所とか メッセサンオーと同じだよね?
やば
くね?
169:名無しさん@十周年
10/04/05 16:18:17 TWT7e/os0
>>164
高島屋で買い物した、と知られても別にショックじゃないだろ
テレビでやればエロゲを通販で買った、と全国に知れ渡るんだぞ
首突っ込んで個人名とか検索されたら二次被害ってレベルじゃねーだろ
少しは考えろこの大馬鹿者が
170:名無しさん@十周年
10/04/05 16:20:16 zN3uQSyi0
WEBンベンターが提供する
最新の管理プログラクを使えば大丈夫
171:名無しさん@十周年
10/04/05 16:22:12 JbsAC0ci0
>>168
カスタマイズや改造出来ればまだしも、
普通はやばいわなー
てか、サンプルとかダウンロード出来るPerlのCGI使ってる時点で、
ソースコード見たクラッカーに狙われるリスクを考えてないってことじゃ?
172:名無しさん@十周年
10/04/05 16:46:27 xK4BgHWMP
結局どうなったの?
CGIはかなり前のフリーで公開されている物だったって話が出てたけど、
ここで買った物だったの?
173:名無しさん@十周年
10/04/05 16:48:09 Z4XrV/2E0
そんな細かいことを調べてもしかたないようなレベル低すぎる話
174:名無しさん@十周年
10/04/05 17:10:46 o/a+Z5AK0
520 名前:名無しさん@十周年[sage] 投稿日:2010/04/03(土) 00:55:30 ID:UeK/Vn750
悪い順
1.超絶ザルなCGIを買って使ったメッセ
2.それを作ったインベーダー
3.情報発信ブラウザを使って管理していた沼○
4.キャッシュしてごめんねGoogle
5.気づいちゃった2ちゃんねら
▼ 529 名前:名無しさん@十周年[sage] 投稿日:2010/04/03(土) 00:58:42 ID:NLOB++Ie0
>>520
2.それを作ったインベーダー
そうか宇宙人が作ってるのか
▼ 532 名前:名無しさん@十周年[sage] 投稿日:2010/04/03(土) 00:59:54 ID:Y2Mbh6ou0
>>529
納得w
175:名無しさん@十周年
10/04/05 17:23:09 I5cE0mKb0
>>160
なんでキャッシュ消えたのかなーと思って
トップページ見てみたら
<meta name="google-site-verification" content="E60nrpfWPB_tJt9M4zNioNiiqblZlzmFzm8dqO0rgW8" />
ワロス!!こいつもキャッシュ消しgoogleへ依頼したんだ!w
176:名無しさん@十周年
10/04/05 17:24:48 JbsAC0ci0
>>174
「ワレワレハ、個人情報ヲ侵略スル為二、
宇宙カラヤッテ来タノダ」
「インベーダー=宇宙人」って誤解してる奴多いよなw
「インベーダー=侵略者」一応つっこんでおくかw
177:名無しさん@十周年
10/04/05 19:44:48 c/ZA5zg50
他店での個人情報漏洩に伴う「ご購入履歴」機能の一時停止などについてのお知らせ
URLリンク(www.getchu.com)
178:名無しさん@十周年
10/04/05 19:48:20 ND2TF6hD0
ろくな会社が無いな。
179:名無しさん@十周年
10/04/05 19:49:41 QUA36LJb0
この会社のサイトいろいろ面白いこと書いてある…これ見てここのシステム使おうかなとは間違っても思わない。
>>54
>外注というか、vecterで落とせるフリーウェアレベル
vectorだよ。
180:名無しさん@十周年
10/04/05 19:53:49 mqiAwanD0
ゴミシステムとゴミ業者の組み合わせがフィーバーしたな
181:名無しさん@十周年
10/04/05 20:10:18 6yYvteZ+0
普通に賠償請求で樹海行きだろ
182:名無しさん@十周年
10/04/05 22:54:33 FEB4tIZp0
2004年のプログラムを使ってるから悪いみたいな言い方しておいて、今頃修正してるとか酷すぎだな
183:名無しさん@十周年
10/04/05 23:14:53 JbsAC0ci0
>>182
>>138で、
>ショッピングカートが何らかのスパムアクセスの攻撃を受けたと考えられます。
こんなこと言い方してるくらいだからな・・・
「当社は被害者(キリッ」
攻撃じゃなくて、自爆だろ・・・
184:コアセルペート ◆11YHIPHm4M
10/04/05 23:21:06 qqvQ8jLy0 BE:230000639-2BP(34)
普通は.csvファイルにアクセス制限かけるものだが。
185:名無しさん@十周年
10/04/05 23:24:18 Z1UovCeV0
>>184
今回、メッセサンオーさんはノーガード戦法だったようです
186:コアセルペート ◆11YHIPHm4M
10/04/05 23:24:48 qqvQ8jLy0 BE:153332892-2BP(34)
こんなこともあろうかと、
普通は.csvファイルにアクセス制限かけるものだが。
187:名無しさん@十周年
10/04/05 23:29:00 g/1lKUAW0
ごめん、素人なんだけどCSVのアクセス制限って暗号化されるん?
つーか、バイナリで読めるような作りにはなってないってこと?
188:名無しさん@十周年
10/04/05 23:31:26 6tNqqDY30
>>186
ファイルのパーミッションを600かい?
189:名無しさん@十周年
10/04/05 23:34:38 rQ3nx3XA0
>>188
普通だとサーバ上のプログラムからのみアクセス可能にしておく代物
403 Forbiddenってみたことない?
190:名無しさん@十周年
10/04/05 23:35:09 rQ3nx3XA0
ミス
>>189は>>187あて
191:コアセルペート ◆11YHIPHm4M
10/04/05 23:38:49 qqvQ8jLy0 BE:306666566-2BP(34)
>>187 >>188
Apacheなら、これで幸せになれるよ。
<FilesMatch "\.csv">
Order allow,deny
Deny from all
</FilesMatch>
192:名無しさん@十周年
10/04/05 23:38:56 HyJuiMLQ0
>>189
馬鹿まるだし
193:名無しさん@十周年
10/04/05 23:39:16 BQqUgzfa0
>187
『サーバのアクセス制限』っていうのは暗号化とは別なものだよ。
OSやサーバアプリで『このファイルを見る権利を持っているユーザー』を管理するの。
だから物理的にハードディスクひっこぬいて他のマシンにつなげれば見れたりするね。
194:名無しさん@十周年
10/04/05 23:41:00 C4pwQvLO0
絶対に謝罪しないって事は外資かな?
195:名無しさん@十周年
10/04/05 23:41:46 g/1lKUAW0
>>190
そういう意味のアクセス制限ね
CSV関係ないじゃん
196:名無しさん@十周年
10/04/05 23:41:57 0i/2yoBm0
対策が「metaタグ入れてロボットからクロールされないようにしました」
なんてな事を真顔で言う所だから、あんまり安心出来ないよね。
metaタグは「クロールしないでね」っていう単なる「お願い」に過ぎないんだけど。
197:名無しさん@十周年
10/04/05 23:43:20 fEWO+ZIi0
>>186
DB入ってるcsvなんかweb鯖共有上に置くのが狂ってる
198:名無しさん@十周年
10/04/05 23:45:52 mdzT6d1X0
アクセス制限とかじゃなくて、見えちゃいけないファイルは公開ディレクトリより上の
そもそもwebサーバーがアクセスできないパスに置いといて、
cgiからだけ見えるようにしなきゃいけないんでないのか
199:名無しさん@十周年
10/04/05 23:46:01 MYLbE3bs0
問題なのは不要な情報を集めた事と
情報溜め込んでる事だろ。
200:名無しさん@十周年
10/04/05 23:49:10 Mdi+7f8o0
うほっ
201:コアセルペート ◆11YHIPHm4M
10/04/05 23:51:06 qqvQ8jLy0 BE:613332689-2BP(34)
>>197 >>198
突っ込みどころ満載だね。
10年以上前から気をつけるべき定石なのに。
202:名無しさん@十周年
10/04/05 23:52:25 JbsAC0ci0
>>199
問題なのは、公開しちゃいけない情報が漏えいされたこと。
情報の収集、蓄積自体は必要で、
電子帳票保存法のため、7年間の保存義務がある
また、今回の事件に対して、getchu.comが、
以下のようなお知らせをだしたみたいで、
そこにも書かれている。
問い合わせが多かったんだろうな・・・
他店での個人情報漏洩事件に伴う「ご購入履歴」機能の一時停止などについてのお知らせ
URLリンク(www.getchu.com)
>お客様からお預かりしているお客様の個人情報、ご注文内容ですが、
>税法上の規定により取引情報については7年間の保存が義務づけられているため、
>弊社ではその期間内のご注文内容および、その際にお預かりしたお客様の個人情報を保管しております。
203:名無しさん@十周年
10/04/05 23:52:37 Z4XrV/2E0
>>197-198
それはそのとおりなんだけど
非公開の置き場所が無いレン鯖とかよくあるだろ
これは低レベル過ぎて常識は通用しない世界の出来事だから
204:名無しさん@十周年
10/04/05 23:53:32 zN3uQSyi0
pass入りURIって超ウルトラCも加わってるからなぁ
205:名無しさん@十周年
10/04/05 23:54:50 Z1UovCeV0
>>203
そもそも内部管理情報になる顧客情報と商品情報を
外部に公開してるサーバーに置いてる時点で不味いだろ
まともな感覚なら内部情報は絶対に外からアクセス出来ない
サーバーに分離する
206:名無しさん@十周年
10/04/05 23:57:54 MYLbE3bs0
>>202
年齢で良いところを生年月日を入力させる必要はないだろ
帳簿だって名前まで保存する必要は無いだろ
もし必要なら店頭販売で名前を聞かないといけないんだし
207:名無しさん@十周年
10/04/06 00:05:24 EtiXBqEx0
>>205
いやだからまともな感覚はこの世界じゃ通用しないんだよ
208:名無しさん@十周年
10/04/06 00:05:38 XsIpNnFs0
GETのままなのかよ…
209:名無しさん@十周年
10/04/06 00:07:44 1q06b4JwO
七年分すべてをデータベースに置いておく必要はない。
リスクが大きくなるだけだし。
ゲッチューの前身の同人.com(?)の頃に使ったっけ
一日経ったら頭が冷えて、発送前にキャンセルしたけど。
210:名無しさん@十周年
10/04/06 00:10:07 5df73Te10
>>209
同意。過去一年分程度が見れればいいし、表示はテキストベースでなく
テキストを前提としたコピーできないorコピーしても活用の難しい画像形式で見れればなおいい
211:名無しさん@十周年
10/04/06 00:14:21 VCRECrrM0
今回の件で自分が普段利用しているCGI/ASP系のサイトを調べたが、なんかヤバそうのが結構ある。
Googleは本当に信用できなくなった。Chome消すか…
212:名無しさん@十周年
10/04/06 00:18:26 FJYOdVMu0
>211
この件で信用できなくなる対象がなぜGoogleなんだ?
213:名無しさん@十周年
10/04/06 00:18:36 HxNzvPrs0
理系の女の人ってエロゲ好き?
214:名無しさん@十周年
10/04/06 00:19:47 VbTFjGf4P
正直晒されたヤツいる?
215:名無しさん@十周年
10/04/06 00:21:42 yYsbPJj+P
クロームがURL入力欄を本社に送るから今回の問題が起きたという書き込みについては大いに疑問がある
URL蘭が送れるならサブミット用の領域もHTTPSでの操作も全て送っている可能性もある
まずソコを確認するのが先決ではないだろうか?
216:名無しさん@十周年
10/04/06 00:24:10 IspMxNwm0
>>205
一緒のサーバで運用するなんてよくあることだろ。
制限は、管理画面の特定IPから許可にするとかそういうレベルだよ。
コストけちってるのに、なにいってんだ?
217:名無しさん@十周年
10/04/06 00:25:23 30lyO8+U0
>>215
URL欄じゃなくて、ブラウザがwebサーバに対して出すhttp requestに含まれるアドレス情報だな
218:名無しさん@十周年
10/04/06 00:26:47 XsIpNnFs0
よく見るとこの会社って法人格名乗ってないんだけど
実態は個人なのか?
219:名無しさん@十周年
10/04/06 00:27:51 yYsbPJj+P
>>217
そうなのか
とはいえそれだけでも、ほぼ完璧なエンドユーザーのトレースが出来ちゃうな
220:名無しさん@十周年
10/04/06 00:29:51 EtiXBqEx0
>>215
それをやっていたらほとんどの国で違法だからGoogle終了
221:名無しさん@十周年
10/04/06 00:29:53 5df73Te10
>>218
ドメインがco.jpだから法人格だな。
222:名無しさん@十周年
10/04/06 00:30:20 cLDQ9s4Q0
URL認証は認証ではない
知られにくいページにすぎないのよ
223:名無しさん@十周年
10/04/06 00:31:32 XsIpNnFs0
>>221
WEBインベンターのほうな
224:名無しさん@十周年
10/04/06 00:31:52 bcf4m00j0
>>209
>七年分すべてをデータベースに置いておく必要はない。
これはその通り。
ただ法改正前は、紙媒体での保存が義務付けられてて、
改正後は、保存場所などのコスト考えて、
紙->データ の流れになっていったと思う。
データベースじゃなくてメディアに移動保管も可能。
225:名無しさん@十周年
10/04/06 00:32:40 FAr6HNHL0
>>1
もう、webインベーダーもメッセサンオーも共に滅んでくれていいよ
226:名無しさん@十周年
10/04/06 00:34:16 As9LelTz0
>>1
>パスワード付きのURL
すまんが、ここを誰か日本語に訳してくれ。
227:名無しさん@十周年
10/04/06 00:34:38 XsIpNnFs0
whoisでwb-i.net調べたら個人名だた
怪しさ爆発
228:名無しさん@十周年
10/04/06 00:40:05 P4SJaAyw0
>>220
chomeには少なくともブックマークと検索欄、IPアドレス、一意のインストールトークンは送信されると書いてある
同期とやらをすればグーグルアカウントとも連結されるとな
他のブラウザや他の検索サイトでも検索語やIPアドレスやクッキーで十分個人プロファイルされて
トレースされてるに違いない
229:名無しさん@十周年
10/04/06 00:40:35 30lyO8+U0
>>219
だからフレームに隠しててもブラウザから見れば丸見え
あるページを要求 (http headerにはフレーム画面のURLを要求)
↓
フレーム画面を表示
↓
フレーム内の構成ファイルをリクエスト ←(http headerにこのパス付きアドレスが含まれる)
↓
フレーム内の画面を表示
なのでブラウザのURL欄に何が表示されてるかなんて関係無い
ブラウザはサーバに対してファイル転送要求を出す際にhtmlだろうがgifだろうがあらゆる
URL情報を出してファイル要求するので、この部分をごっそり何かが監視しててそれなりの
ところに送るのは技術的に可能
230:名無しさん@十周年
10/04/06 00:42:47 vOCEAR350
>>65
2chに書いた馬鹿は確信犯だろうけどなw
231:名無しさん@十周年
10/04/06 00:44:34 DOOdpfFq0
なんのかんの改善もせずにしのげるもんなんだな。
個人情報流出って大したことじゃないんじゃないのか。
>メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性
>URLリンク(blog.livedoor.jp)
>今回の件、4年前にも同じ事件起きてたんだな。
>URLリンク(www.pine.mynetwork.org)
232:名無しさん@十周年
10/04/06 00:45:59 30lyO8+U0
>>230
メッセサンオーに先に連絡してしらばっくれられてシカトされたから
2chに書いたとも取れる
少なくとも3/29日の時点で漏洩してることをメッセの内部的には
知っていた(報告があった?)とうかがえる発表になってるし
ν速でのスレは4/1夜からだからそれまで2日間、何も対応しなかった
ということになる
233:名無しさん@十周年
10/04/06 00:52:56 EtiXBqEx0
馬鹿正直に教えてやる必要はないし
日本は正直者が馬鹿を見る国だから通報はやめておいたほうがいい
見つけたら2chにスレ立てるのが今後の教訓にもなるから一番いい
234:名無しさん@十周年
10/04/06 01:13:10 bcf4m00j0
>>206
「情報の収集、蓄積」とまとめて書いてしまったせいで、
意図が伝わりにくかったかもしれん。スマン
言いたいこともわかるし、私が言いたかったのは、
収集:必要(集めなきゃ通販できんよね)
蓄積:最低限の情報のみ必要(法律の制約)
ってことです。
あとは、購入契約時の個人情報保護の同意次第かな。
嫌なら同意するも必要ない。
>年齢で良いところを生年月日を入力させる必要はないだろ
成人商品を扱う以上、建前上でも、何らかの年齢確認は必要と思う。
年齢、生年月日のどちらでもいいと思うけど、あとは店側の判断かな。
(通販だから偽ることだって出来るし、確認もしにくい)
ただ、18歳未満に販売していたという情報も出ていたので、
その点に関しては、本来の目的を見失っていた可能性もあり、
店側は批判されてしかるべきかと思う。
>帳簿だって名前まで保存する必要は無いだろ
>もし必要なら店頭販売で名前を聞かないといけないんだし
通販だから販売時の収集は必要だよね。お届けできない。
店頭販売は名乗る必要ないし。
蓄積時には消しても良いと思う。
店側を擁護する気もないし、購入履歴うんぬんの話が出てたから、
法律の制約があるってことだけ言っておきたかった。それだけです。
235:名無しさん@十周年
10/04/06 01:19:08 UZDqx0nZ0
>そして、時々パスワードを変更することはいつの場合でも役立ちます。
なんで翻訳調なん?
236:名無しさん@十周年
10/04/06 01:20:15 MuYwckzC0
>>10
インフラ化ってなんだ?
カルテル化?
237:名無しさん@十周年
10/04/06 01:24:34 2WNS5N2j0
インフラと化してるって事だろ
238:名無しさん@十周年
10/04/06 01:47:05 bcf4m00j0
>>232
スレリンク(news板:153番)
↑お詫びメールのコピペが貼ってある
>誠に遺憾ながら、先週3月29日に弊社のサイト「メッセサンオー・PCゲーム館」 の
>お客様情報が漏洩していることが判明致しました。
いままでの調査の結果、
3/29から公開状態になっていたことが判明したんだろう・・・
3/29から知っていて、4/2まで何の対応もしてなかったたとしたら
いくらなんでもひどすぎるぞw
ただ、日付だけわかってもなー・・・
何でgoogleにインデックスされたかを説明しないと・・・
239:名無しさん@十周年
10/04/06 01:49:56 dlmucXM40
パスワードは認証の時以外に絶対使ってはいけない
セッション切れの場合はセッションIDをクッキーに残して照合するか
バッサリ切り捨てて再認証させた方が良い
最初の認証以外にはPOSTデータにも絶対パスワードは含めないのが当たり前だろうに
URLにパスワードを含めるなど言語道断
ちなみにパスワード変更画面でHTMLでおもいっきり
新しいパスワードを表示しやがる糞サイトはしんでほしい
240:名無しさん@十周年
10/04/06 01:51:44 EtiXBqEx0
詳細を公表してもそれを評価する人間は日本に数人しか居ないのに
公表する企業は馬鹿
241:名無しさん@十周年
10/04/06 01:53:33 7dR1y+a/0
メッセのいう3月29日は嘘だろ
2chで発見されて騒ぎになるまで通販サイト閉じてないし、お詫びも掲載してないしな
普通はアクション起こすだろう
もし本当に3月29日にわかってて通常営業してたのなら
被害者ふやすためにわざと放置したとしか思えん
242:名無しさん@十周年
10/04/06 01:56:11 LONoX1My0
>>241
決算前の最後の追い込みに通販サイト閉じるより、被害者が増えても4月まで逃げ切りたかったんだろ。
243:名無しさん@十周年
10/04/06 01:58:45 EtiXBqEx0
だから被害を最小限にするには通報じゃなく2chにスレ立てするべし
この国では警察もマスコミも機能していないのだから
244:名無しさん@十周年
10/04/06 02:06:47 bY+goSac0
>>228
Chrome と ツールバーの通信をデバッガで覗いて解析してる人がいるが、
クエリストリングは(URL内のパスワード)は送信されないらしいぞ
URLリンク(d.hatena.ne.jp)
Chrome / ツールバー 原因説は無理がある気がする。
245:名無しさん@十周年
10/04/06 02:10:10 bcf4m00j0
>>241
後から遡ってアクセスログなどを調べたら、
3/29から漏れてましたってだけでしょ。
調査が不十分なだけで、もしかしたらそれ以前かもしれんしな。
この程度のスキルで、3/29当初から把握していたとも思えん
まー本当だとして、この日付付近で、何をしたんだ?ってこと
評価というより、補償とともに最低限果たすべき責任だと思う
246:名無しさん@十周年
10/04/06 02:12:16 dlmucXM40
パスワードを平文で送るシステムがバカすぎ
パスワードは認証だけに使い、認証は暗号化をチョイスできるようにするのが当たり前
247:名無しさん@十周年
10/04/06 02:16:53 bcf4m00j0
>>239
>ちなみにパスワード変更画面でHTMLでおもいっきり
>新しいパスワードを表示しやがる糞サイトはしんでほしい
え?そんなサイトあるの?
そりゃ目を疑いたくなるね・・・
248:名無しさん@十周年
10/04/06 02:22:41 7dR1y+a/0
>>242
どっちにせよひどいことだ
>>245
ああ、そういうことか
最初の見つかったgoogleキャッシュの取得は3月23日のようだけど・・・
249:名無しさん@十周年
10/04/06 02:29:05 bcf4m00j0
>>248
>最初の見つかったgoogleキャッシュの取得は3月23日のようだけど・・・
俺も、直接見た訳じゃないのでわからん。
2chのキャッシュ3/23説が正しいのなら、
メッセのメール報告(3/29)は、
嘘または調査不十分ってことになるからなー
250:名無しさん@十周年
10/04/06 02:37:50 P4SJaAyw0
>>244
ツールバーとか使ったことないからよくわからないんだけど
ユーザーが任意にログインしてグーグル側に保存してるブックマークをユーザーに無断でクロールしてるのでは?
251:名無しさん@十周年
10/04/06 02:53:33 vOzBS/fC0
ログインしてようがしてまいがhttpなんか保護されてるコンテンツじゃないよ。
そもそもセッション無しでアクセス可能だったから、ノーガード状態。
252:名無しさん@十周年
10/04/06 06:54:11 MZnJUe0V0
俺5000万ほどゲーム注文書が送られてきたんだが
被害者の方はメールまたは電話で下記に連絡してください
なんて怖くて連絡できない
253:名無しさん@十周年
10/04/06 08:11:01 bcf4m00j0
メッセHPに経過報告きてるみたいね
URLリンク(www.messe-sanoh.co.jp)
これはひどい・・・
254:名無しさん@十周年
10/04/06 08:13:48 bcf4m00j0
3/29(月)
・15:37 お客様より情報漏洩のご指摘をメールにて頂く。
・弊社にて検索サイト経由での漏洩事実を確認する。
・検索サイトに削除要請を出し、対応するCGIの名称変更・管理パスを変更。
255:名無しさん@十周年
10/04/06 08:18:26 bcf4m00j0
3/30(火)
・緊急対策室を設置。
・IT技術会社に支援を依頼する。
256:名無しさん@十周年
10/04/06 08:20:12 a/+HrnxVO
>>226
>暗証番号混入的電脳帳の住所
257:名無しさん@十周年
10/04/06 08:25:27 vdTemouQ0
やってた事はザルだったけど、対応は誠意あるものだと思うけどね
楽天の対応なんか「これやるからもう黙れ、乞食」って感じだったし
258:名無しさん@十周年
10/04/06 08:31:40 XhGeMFB80
BASIC認証もURLに埋め込んでアクセスする裏技的な物があるから、そのURLが漏れたらヤバイな。
259:名無しさん@十周年
10/04/06 08:31:57 wNnxxLib0
どっかのサイトであったなぁ・・・
パスワード忘れて問い合わせたら、自分の設定したパスワードそのものを教えてくれた所が。
まんまパスワードを保存してる危ないサイトって証拠だよな。
普通は一時パスワードを教えてくれて、後で自分でパスワードを設定させるものなんだけど。
260:名無しさん@十周年
10/04/06 08:32:54 irJDhGSbO
>>249
> 俺も、直接見た訳じゃないのでわからん。
> 2chのキャッシュ3/23説が正しいのなら、
> メッセのメール報告(3/29)は、
> 嘘または調査不十分ってことになるからなー
いや、矛盾はしてないでしょ。
Googleが拾ったのが3月23日な事と
メッセに通報した人が3月29日な事は矛盾しないし、
「調査不十分」という話ではない。
261:名無しさん@十周年
10/04/06 09:03:08 j6aJM7uy0
>>260
でもGoogleキャッシュは4日までほとんど見れたよね
3日っていうのは明らかな嘘だよ
262:名無しさん@十周年
10/04/06 09:30:01 4wpglCD80
3/30
・IT技術会社に支援を依頼する。
システム屋でもweb屋でもない商店じゃツテもあてもなくとりあえず手伝ってもらえる所探したんだろうなぁ
聞いては断られでずるずると時間経過
3/31
・IT技術会社と対策を協議。
現状を詳細に調査確認する時間を経て翌日に詳細な話が始まったと
スクリプトの改修やソッチのほうを主に相談してたのかな
あと、キャッシュ削除依頼は御社の責任でお願いしますって付帯がついてたとか
もしくはキャッシュ削除は弊社がやりますなんて最初にいっちゃったとか
二つの問題が同時に発生してるのに片方の医者しか呼んでないような
263:名無しさん@十周年
10/04/06 09:33:15 4wpglCD80
4/3
・検索サイトのほとんどのキャッシュが削除されているのを確認。
・HP上に経過報告を告知。
これ、遅い時間じゃなかったっけ
日中は見えたし、「消えていってるよwww」ってのを見たような気がする
264:名無しさん@十周年
10/04/06 09:34:43 j6aJM7uy0
>>263
実際は消えたのは4日になってから
265:名無しさん@十周年
10/04/06 09:40:09 UmnlJEox0
被害者の会とか立ち上がらないの?
エロゲ買ったと漏らされた奴は泣き寝入りか?wwwww
266:名無しさん@十周年
10/04/06 09:51:02 SZzhsPx70
経過報告の対応の遅さにびっくりしたわww
267:名無しさん@十周年
10/04/06 09:56:29 EV7rCoOZ0
>>37でワロタwww
268:名無しさん@十周年
10/04/06 10:17:52 F/R2fxJy0
消した事自体は証拠隠滅というより他のサイトも似たような脆弱性突かれる事考えると正解だろう
269:名無しさん@十周年
10/04/06 10:21:03 wNnxxLib0
昔半角板で特定のキーワードで検索したら海外のアダルトサイトのログイン後のページがヒットするスレッドが立ってたな。
270:名無しさん@十周年
10/04/06 10:25:52 irJDhGSbO
>>261
ま、Googleだって「消せと言われたら無確認無条件に消します」と言うような会社じゃないし
実際に「特定のキャッシュデータを消せ」コマンド発行した所で
Googleのサーバーから消え去るまでは時間も掛かるだろうって所では。
271:名無しさん@十周年
10/04/06 10:33:48 0ufFvHi90
まぁ あれだわな 多少金がなくても
ネットワーク/データベース/セキュリティ
外向けのシステムなら この3ポストだけは
しっかりしたプロなりチームなりを置いて欲しいな
272:名無しさん@十周年
10/04/06 10:54:56 N6k4hsBF0
みんなも個人タイト立ち上げてCGI置いたりお勉強しておきましょうw
BLOGとか簡単な事に走りすぎ
273:名無しさん@十周年
10/04/06 11:06:57 hNKdxqVn0
個人タイトでググったらなんか怪しいのが出たぞ
274:名無しさん@十周年
10/04/06 11:13:51 bcf4m00j0
>>260
>>249の引用部分に対する指摘という点では、
君の言いたいことはわかるし、正論だと認める。
ただ、ちょっと落ち着いて、前後の流れで読んで貰えると有難い。
限られた情報による推測部分だから、間違いもあるかと思う。
言いたいことは、
>>238のこの部分
>誠に遺憾ながら、先週3月29日に弊社のサイト「メッセサンオー・PCゲーム館」 の
>お客様情報が漏洩していることが判明致しました。
この文面にある「3/29に判明」という日付をどう捉えたかです。
A.漏えいの開始が、3/29であることが判明
B.漏えいの事実を、3/29に店舗が確認した
今日のHPの告知では、Bであると報告されたのですが、
それ以前の段階では、文面に明確に表現されていない為、
Aともとれるし、Bともとれると思う。
私は、「Aであるならば、3/23のキャッシュの話とは矛盾するね」
と言いたかっただけです。
(Bであるならば矛盾しないのは、ご指摘の通りです)
3/29に把握していてこの有様だと、さすがにひどいと思い、
発生3/29、把握4/2だろうなという思いもあった。
「店舗側がいつ把握してどう対応したか」も重要なのはいうまでもないが、
「何が原因で漏えいしたのか?」ということを重視しているので・・・
275:名無しさん@十周年
10/04/06 11:14:42 qAJw+d740
カオス館しか見てなかったけど、
まあこのフットワークの悪さも、こんなもんかなと思う。
276:名無しさん@十周年
10/04/06 11:26:23 S3xCH1rl0
今回の被害者さんはあれですか
新宿2丁目を半裸で歩いててレイプされた人みたいなもんですか
277:名無しさん@十周年
10/04/06 11:27:53 9+l/1z6n0
インベンターw
278:名無しさん@十周年
10/04/06 12:24:56 XvJoKWz+0
>>276
有料便所で糞してたら、便所の中がいつのまにかとある方向から丸見えだった感じ
279:名無しさん@十周年
10/04/06 12:46:36 A5PQEz+Y0
最新版は大丈夫なんじゃなかったの?
えw
280:名無しさん@十周年
10/04/06 12:47:15 TonUBmgEO
>>231
>今回の件、4年前にも同じ事件起きてたんだな。
>URLリンク(www.pine.mynetwork.org)
この四年前の流出事件ってどういう経過になったのかな。
インベンターはやっぱり無傷だよね、今回までメッセのcgiも放置していたんだし。
インベンターの真価はcgiよりも流出逃げ切りノウハウにあるのか。
281:名無しさん@十周年
10/04/06 12:52:32 A5PQEz+Y0
DMMは大丈夫だろうな・・・
282:名無しさん@十周年
10/04/06 12:55:16 +7BIfSrX0
>>281
漏洩しない限り絶対大丈夫だから安心して!
283:名無しさん@十周年
10/04/06 13:37:49 irJDhGSbO
>>274
なるほど、自分はメッセサンオーの説明を読んで
> B.漏えいの事実を、3/29に店舗が確認した
という解釈しか思い浮かばなかったもので。
ただそれより、メッセサンオーの説明ではすぐに「パスワード変更」した事になってるが
ν速では4月2日か4月3日にメッセサンオーの管理画面を
直接弄り回して遊んでる奴がいたっていう矛盾が気になる。
284:名無しさん@十周年
10/04/06 13:41:37 ooXrVQxx0
見るからに怪しいサイトで笑ったw
こんなところに委託するほうにも問題あるだろw
285:名無しさん@十周年
10/04/06 13:46:29 v8uqcx4lP
ブラウザをGoogleChoromeじゃなくてIEだったら流出を防げた
これは情報を鯖に勝手に送信してるんだよね
286:名無しさん@十周年
10/04/06 13:48:04 owEsl9wAO
もうこの件に関してはインベンターじゃなくてインベーダーで統一していいんじゃないか
287:名無しさん@十周年
10/04/06 13:56:00 S3xCH1rl0
>>278
なんか納得できた
あれだよね普通に風俗行っただけなのに
女が年ごまかしてたせいで淫行で逮捕された人にも
何となく通じるもんがあるよーな
288:名無しさん@十周年
10/04/06 14:03:55 bcf4m00j0
>>283
まずは、ご理解頂きありがとうございます。
>ただそれより、メッセサンオーの説明ではすぐに「パスワード変更」した事になってるが
>ν速では4月2日か4月3日にメッセサンオーの管理画面を
>直接弄り回して遊んでる奴がいたっていう矛盾が気になる。
そうそう、これに関しては、疑問がわいてきた。
スレリンク(hgame板:938番)
↑の内容が気になってる。
>このページは 2010年3月23日 15:31:58 GMT に取得されたものです。
>そのため、このページの最新版でない場合があります。
>管理画面のGoogleキャッシュを見たら、
>3/29以降でも管理画面に入れたらしいパスワードと同じなんだよね
>パス変えたのもCGIのファイル名変えたのも大嘘
この3/23時点のキャッシュのパスワードが、
2chでばれた例のパスワードと同じらしい
どういうこと?って感じ・・・
289:名無しさん@十周年
10/04/06 14:18:46 51vCSecA0
>>271
その「プロ」に頼んだ結果がこれなんだろきっとw
290:名無しさん@十周年
10/04/06 14:23:52 bcf4m00j0
>>289
まぁ、あれだ。
名医かヤブ医者かを見抜けなかったってことだ。
美容整形外科とかでもトラブルあるみたいだしな。
昨日NHKでやってたが、ひどいもんだ。
291:名無しさん@十周年
10/04/06 14:28:33 wNnxxLib0
>>289
「プロ」でも値段が数万円のシステムだからなぁ・・・
292:名無しさん@十周年
10/04/06 14:30:31 51vCSecA0
>超高機能カート
>PCtoMobile(58,000円)PC携帯連動・人気NO.1(⇒詳細)
安すぎww
293:名無しさん@十周年
10/04/06 14:30:45 9ztqEXvp0
素人がプロ名乗って偉そうにしてる場合と、
経験積んだ人がプロ名乗って偉ぶらない場合とでは
前者の方がスゲーとか思われるのが世の中だよ。
294:名無しさん@十周年
10/04/06 14:32:37 Fn407hun0
民主党が政権取ってるのとメッセ流出事件は根っこが同じですわ
295:名無しさん@十周年
10/04/06 14:39:53 JM6zfYFB0
つか3/29の時点で被害者にはメール連絡してないとダメだろ
296:名無しさん@十周年
10/04/06 15:27:06 HrHXwiI60
セキュリティリスク説明してある程度の値段提案した開発会社あっても
そんなのはその時考えるって言い張って安いとこ選んだ結果だろw
こういうの未必の故意って言うんだよなw
297:名無しさん@十周年
10/04/06 15:33:26 Ydg0PDUi0
メッセサンオーってキモい奴が集まってる店か
298:名無しさん@十周年
10/04/06 17:20:29 kPrlqpHv0
test
299:名無しさん@十周年
10/04/06 17:25:12 kPrlqpHv0
中卒で情弱の俺がネットショップやるときは、
fc2やカラメルとかにするべきだと学ばせてくれた
ニュースだ。ありがとう。
300:名無しさん@十周年
10/04/06 18:06:37 qOlgloPAP
>>37
ひどすぎる…
301:名無しさん@十周年
10/04/06 18:34:50 qOlgloPAP
>>292
安いのか、普通どれくらいなんだろう
302:名無しさん@十周年
10/04/06 19:20:15 WrRP5n9ti
発明じゃなくて騙す方のinvent?
303:名無しさん@十周年
10/04/06 20:30:38 NE5PEsM80
>>259
>パスワード忘れて問い合わせたら、自分の設定したパスワードそのものを教えてくれた所が。
2ch...
304:名無しさん@十周年
10/04/06 21:30:07 WrRP5n9ti
ユーザー登録した後に送られてくる確認メールにパスワードが書かれてるシステムは信用すべきでない。
305:名無しさん@十周年
10/04/06 22:40:48 bcf4m00j0
「現在までの対応」に修正きてるね
URLリンク(www.messe-sanoh.co.jp)
・CGI開発会社と相談。
当初記載の4/2ではなく、3/31であった模様。
→この時点で相談はうけてたのね・・・
・警視庁サイバー犯罪対策室と相談。
当初記載の3/31ではなく、4/2であった模様。
→結局、2chで大規模に発覚した後に通報ってことですか・・・
306:名無しさん@十周年
10/04/06 23:51:41 Fn407hun0
古いバージョンのCGIだからURLにパス入ってたのかと思っていたけど
メッセの流出事件の後で慌ててURLにパス入らない版を作ってるのね
307:名無しさん@十周年
10/04/07 01:16:40 nUrwGSOz0
>>301
常識的に考えて1人工\50,000位だろ?
10人が一ヶ月で開発したとして200人工程度の仕事だとすると
一億程度かかるんじゃないの?
それを100件に販売して元を取ると考えたら一件100万な訳だが
308:名無しさん@十周年
10/04/07 01:32:44 TLkfKuC6P
>>307
それくらい違いがw
でも同じcgi使ってるとこ他にも一杯あるみたいだよね
メッセは違ったけど小さいとこの通販はあまり使わない方が良いのかな
309:名無しさん@十周年
10/04/07 01:39:05 DThAllU/0
一桁ちがう
310:名無しさん@十周年
10/04/07 12:38:21 gvkOgF8O0
WEBインベンターのサイト変遷をウェブアーカイブで追っていくと楽しいよ
URLリンク(web.archive.org)
住所はこのように変わってる
〒310-0013 茨城県水戸市若宮1-7-15-103
(参考)県営若宮団地 15号棟 URLリンク(www.ijkk.jp)
↓
〒310-0851 茨城県水戸市千波町611-9 IKハイツ103
(参考)IKハイツ URLリンク(archive.homes.co.jp)
↓
〒310-0022 茨城県水戸市梅香1-2-25-204
(参考)ロイヤルヒルズ梅香 URLリンク(archive.homes.co.jp)
311:名無しさん@十周年
10/04/07 18:40:25 EpRS6vky0
>>301,307
普通の中小の制作業者でもこの手の開発だと、30万は取る。5万というのはいくらなんでも安すぎ。
5万の仕事と考えると分相応のセキュリティーだろ。
そもそも、こんなもんは素人のCGIだと、言っているようなヤツには、じゃあ、お前は同じものを5万で
ちゃんとセッション管理のセキュリティー対策を施して作れますか?と聞きたい。
少なくとも、5万じゃあ、そもそも生活もできないし、仕事にはならない。
そんな仕事に完璧なセキュリティー対策を求めても無駄。
312:名無しさん@十周年
10/04/07 19:58:25 gvkOgF8O0
>>311
安いから許されるというものではない。
そのようなまがい物しか作れないなら、最初から商売しなければよい。
騙される客がバカといえばそれまでだが、>>310 に示すように楽して着実に儲けているみたいだ。
だれか水戸市に住んでるやつ、スネークしてこいよ。
313:名無しさん@十周年
10/04/07 20:21:20 TLkfKuC6P
>>311
いや、買う側は言外にセキュリティー面も求めている、付属されているものだと思っているだろうから
セキュリティ云々わからない素人に詐欺を働いたと言われてもしかた無い
詐欺に合う方が悪い、犯罪にあった被害者の方が悪いというレス
元からそんな安価で作るとこがおかしいんじゃないか
CGIを他の品物に置き換えてみたらわかることだと思うけれど
314:名無しさん@十周年
10/04/07 20:24:22 TLkfKuC6P
途中送信しちゃったorz
315:名無しさん@十周年
10/04/07 20:24:31 JWWPHXU70
>>313
> 元からそんな安価で作るとこがおかしいんじゃないか
> CGIを他の品物に置き換えてみたらわかることだと思うけれど
トヨタ車のことですね。わかります
316:名無しさん@十周年
10/04/07 20:25:50 sE1cO7P60
>>310
それは出世しているという意味なのか?
まったくわからん。
317:名無しさん@十周年
10/04/07 20:33:28 yx60BGSr0
こんな高校生レベルの内容で仕事になるのが驚き
儲かってるのかな
318:名無しさん@十周年
10/04/07 20:35:07 3nNFYjru0
>>293
中途半端にかじってる奴までは前者に騙されるケース多し
319:名無しさん@十周年
10/04/07 20:40:19 FcNY/z+8O
>>310
> (参考)県営若宮団地 15号棟 URLリンク(www.ijkk.jp)
県営団地ってのも凄い出発点だなあ。
320:名無しさん@十周年
10/04/07 21:05:21 wSAd1D7k0
メッセで登録したパスワードがわからんw
5年前に会員登録して何も買ってないのに巻き添えだ・・・ORZ
321:名無しさん@十周年
10/04/07 21:16:53 t2bBlzdxO
以前の流出事件後、同じ原因でさらに大規模な流出がおきた流れは、
他の品物で考えるとどんな感じ?
322:名無しさん@十周年
10/04/08 01:15:49 5N37vzb90
>>321
倉庫の鍵を入口のポストの中に入れていたぐらいな感じかw
323:名無しさん@十周年
10/04/08 01:17:20 eipeOb9dP
鍵はここって目印とともに?
324:名無しさん@十周年
10/04/08 01:27:58 RIh6PNWx0
というより鍵穴に挿したままレベルかな
325:名無しさん@十周年
10/04/08 01:56:21 YuJCuMNW0
頭がフットーしそうだな
326:名無しさん@十周年
10/04/08 03:15:43 1Kdh/yJ/0
>311
phpでアフターなしなら15万くらいなら請けるかも
327:名無しさん@十周年
10/04/08 03:22:02 /66ibd1o0
場末のプロの仕事そのものだな。
時間とプライドがある素人のCGIの方がマシ。
328:名無しさん@十周年
10/04/08 09:28:26 JUxBw23y0
verupきたらしいよー
あいかわらず日本語へんだよー
XSSについては書いてないよー
329:名無しさん@十周年
10/04/08 09:33:41 FmNWd3A10
キャッシュを消すようにグーグルに注文できないのかな?
グーグル自身は意図的に集めてるわけじゃないだろうが
個人情報ダダ漏れのままじゃ流石に問題だろ
330:名無しさん@十周年
10/04/08 09:46:46 WpCbIlpE0
>>329
キャッシュなんかもうとっくに消してるだろ。メクラかよ。
検索結果自体は残ってて、そのURLにユーザーのID(メアド)とパスワードが含まれてる点は問題だが。
Googleが消すのを拒否してるのか、メッセもGoogleもそれ(パスワードがある事)に気付いていないのか。
331:名無しさん@十周年
10/04/08 09:57:44 kW5DDCcB0
管理プログラムのセキュリティーの向上 2010年04月07日
URLリンク(mag.wb-i.net)
332:名無しさん@十周年
10/04/08 10:19:08 Rs2mTr9N0
>>313
売り文面見てないからアレだが、web上で動くこの手のものにセキュリティはあって
然るべき、ってのはわかる。
詐欺と言われても仕方ないが、だからといって法的に責任があるかというと微妙。
あと安価だからおかしい、というのは違うと思うぞ。高ければいい問題でもない。
無知故に問題が起きてるのは事実で、結局、webサイト運営者の知識がなさ過ぎることと、
セキュリティに対する考えが希薄過ぎること。
サービス提供者側のレベルを上げるか、制度的なものを作って制限する、あるいは
ガイドラインを設けてマーク付けるとか、そういうのしていかないといつまでも同じだね。
どんだけ一部の人が啓蒙したって無理。
実際ガイドラインはあるんだけど、強制力も何も無いから事実上役に立ってないし、
利用者も大丈夫なのかどうか判断することが出来ないままだ。
333:名無しさん@十周年
10/04/08 12:12:56 txVPMCKy0
URLリンク(wb-i.net)
この ip_check.pl ってのは許可したいIPに部分一致するIPが制限されずに通るね
0.0.0.1 を許可IPにしても 10.0.0.123 が来れば制限通過
なんで eq じゃなくて =~ 使うのかわからん
334:名無しさん@十周年
10/04/08 12:27:02 SA1GhZYi0
>>333
部分一致である必要があるからでしょ。
その実現方法が手抜きなのが問題なんだが、eqにしてしまっては意味がない。
335:名無しさん@十周年
10/04/08 12:28:19 9pQJX3sc0
おおかたの自称IT会社は大量の派遣ITドカタを抱える中小にまるなげ
日本のIT界は中国人もひくレベル
336:名無しさん@十周年
10/04/08 13:55:51 h1Fx/jR+0
技術力の無さに眩暈がしてくる
337:名無しさん@十周年
10/04/08 14:11:08 p1s9B4Bo0
804 名無したちの午後 [sage] 2010/04/08(木) 13:28:12 ID:RwGgJX+r0
メッセ-のホームページに告知来たね-
これ神対応じゃね?
805 名無したちの午後 [sage] 2010/04/08(木) 13:33:46 ID:hpW8PG0I0
何も変わってないと思うんだが
814 名無したちの午後 [sage] 2010/04/08(木) 13:56:40 ID:RwGgJX+r0
あ、ごめん、まだ更新されてなかった
メッセサンオー工作員、
馬鹿なので更新前に書き込んじゃったの巻www
338:名無しさん@十周年
10/04/08 17:27:19 Y2sbYux90
WEBインベンターといい、メッセサンオーといい、どうしてこうもバカばっかりなんだ。
339:名無しさん@十周年
10/04/08 17:35:38 Dai0B8AA0
類は友を呼ぶとか何とか
340:名無しさん@十周年
10/04/08 19:01:45 36mmX6lr0
>>337
結局釣りだったんじゃね?
341:名無しさん@十周年
10/04/08 19:25:52 CtcxN4ru0
釣りにもなってねえ。かまって欲しいだけの残念なヤツだろ。
342:名無しさん@十周年
10/04/08 19:54:51 mqGn/1eh0
インベンターCGIの流出事件が再発であることはあまり
重視されてないのか
343:名無しさん@十周年
10/04/08 20:21:34 1GNbiJUy0
管理プログラムのセキュリティーの向上 2010年04月07日
一度ログインに成功したらクッキーが生きているかぎり、嘘のパスワードでも認証通る。
344:名無しさん@十周年
10/04/08 21:02:40 rGS7dJhf0
>>343
kwsk
345:名無しさん@十周年
10/04/08 21:35:03 OkZFblUx0
>>333
多分「ビットマスク」っていう概念を理解できてないんだと思う。
・・・・・っていうか、その書き方だと正規表現の概念すら理解してないんじゃないのかと思う。
346:名無しさん@十周年
10/04/08 22:06:23 SA1GhZYi0
>>345
理解してないのか、たまたまマッチしたりしないだろう、といういい加減な考えか。
必ず部分一致になってしまう以外に.(ドット)の部分が何にでもマッチしてしまうという問題がある。
全ての顧客に^と$とバックスラッシュを使って正規表現を書かせるのは無理があるし、
ネットワーク単位での指定ができないから、正規表現をそもそも使うべきではない所ではないかと。
347:名無しさん@十周年
10/04/08 22:33:34 1GNbiJUy0
if (!hasCookie) {
autheticate(uid, pass);
} else {
// invalidate();
}
348:名無しさん@十周年
10/04/08 22:49:46 36mmX6lr0
>>347
うは・・
ほんっとに素人が作ってるんだな・・
俺は今すぐには悪用は思いつかないけども
確実に誰かに悪用されるぞこれ
349:名無しさん@十周年
10/04/08 22:55:05 Y4y2GT4B0
>>348
// invalidate(); /* 夏になったら本気出す 2010.04.08 */
350:名無しさん@十周年
10/04/08 22:57:39 jyMMJRHq0
>>333
ip_check.plの書き様があまりにも素人過ぎる。
perlの素人というよりプログラミングの素人という感じだな。
このレベルの人間がプロとして顧客情報管理CGIを
請け負うのだから世の中は恐ろしい。
351:名無しさん@十周年
10/04/08 23:58:38 1GNbiJUy0
パーミッションは604で良いと思います。たぶん。
352:名無しさん@十周年
10/04/08 23:59:58 fPiajbUYO
四年前から指摘されていたのに、たいした改善もなかった。
改善しなくても商売としては成り立ってしまっていた。
353:名無しさん@十周年
10/04/09 00:01:34 eFDf0C9r0
エロゲースレとか、メーカー工作員と思われる奴がウヨウヨいる
354:名無しさん@十周年
10/04/09 00:40:41 5dhRcTXo0
>>346
> 正規表現をそもそも使うべきではない所ではないかと。
「正規表現を使ってる」という発想すらないんじゃないか、このWebインベンターの人。
てーか、requireで他のperlスクリプトインクルードして使おうとするなら、
そのインクルード対象のスクリプトは最後に
1;
とか書いておくのがお約束だと思ってたが違ったっけか。
355:名無しさん@十周年
10/04/09 00:41:51 JITZTXSEP
あげ
356:名無しさん@十周年
10/04/09 00:43:55 arXePVYD0
やっぱり発注する側にもそれなりの知識は必要だと、あらためて思う吉宗であった
てか、ほんとPCとネットは最低限の知識が浸透する前に拙速で普及しちまった感があるなぁ。
357:名無しさん@十周年
10/04/09 00:54:46 1KwJhZii0
>>333
$ip = '^0\.0\.0\.1$';
として通過させるIPアドレスを指定すればいいわけで、そこは突っ込むところじゃないと思う。
けど、メッセサンオーの担当者がそうかくとは思えないが、
358:名無しさん@十周年
10/04/09 00:55:08 1VEfufWw0
ネットは進化しているのに日本人の脳は退化しているからな
359:名無しさん@十周年
10/04/09 01:00:21 EvMYKlce0
>>356
消費者として利用するという点では、
PCとネットに限った話でもないとは思う。
商売として利用するなら、最低限の知識は必要だが、
何をもって最低限とするかの判断や規制が出来てないのが現状ってところか。
他業種なら、国家資格や免許とかあるんだろうけど。
ITは・・・
360:名無しさん@十周年
10/04/09 01:02:24 cPxo91Vd0
>>9
>(株)ウルトラ・ヴァイヴ
名前からして、ここの名簿が流れたら阿鼻叫喚の地獄になるに違いない。
361:名無しさん@十周年
10/04/09 01:13:21 y6K7V6Lf0
>>360
確かに音楽関連の趣味がバレるのは、相当恥ずかしい。
362:名無しさん@十周年
10/04/09 01:16:59 dYU24nWx0
>>347
一度も認証に成功してなくてもCookieさえあれば、通りそうに見えるけど
//って、コメントアウト……?
>>354
それについては>>331のページに「1←←必要」というわからん人にとっては謎の記述が。
>>357
そう書けと言っていないんだから、突っ込む所どころか
脆弱性そのものだと思うんだが……いろんな考え方があるもんだな。
363:名無しさん@十周年
10/04/09 01:18:13 JZkyGu7a0
>>360
URLリンク(www.ultra-net.jp)
364:名無しさん@十周年
10/04/09 01:29:22 ALt0yBnX0
4/3にとっといたリストとちゃうな
古いデータのキャッシュかな
365:名無しさん@十周年
10/04/09 01:45:46 yEet8dea0
以前、外に繋がってない社内ネットワーク限定のシステムってことでお手軽にgetばかりのアプリ組んだら、
プログラムをロクに知らない奴からセキュリティを知らなさ過ぎると貶されたことがあったなぁ
締めるところと緩めるところを勘違いしてるほうがセキュリティ的に問題だろうに…
366:名無しさん@十周年
10/04/09 02:03:49 1VEfufWw0
>>365
おまえからはインベーダーの臭いがするよ
367:名無しさん@十周年
10/04/09 02:10:33 UZdmwFH90
くんくん!
368:名無しさん@十周年
10/04/09 02:35:16 kNCMehkD0
インベーダーの自社サイト、home page builderで作成したページがあるんだよね。
まあ、home page builderが悪いわけじゃないけど、まあ、不安になりますわな。
年齢的に45~55歳ぐらいで、PHPとか、フレームワークとか知らない古い世代の
人なんだろうな。その年代のひとって、セキュリティの概念て、
パスワードとか、LINNUXのパーミッションとか、その程度しか無いんだよね。
googleとか無い時代に育ったんで。 もう、仕事やめて、隠居したほうが良いよ、たぶん。
369:名無しさん@十周年
10/04/09 02:44:32 JZkyGu7a0
>>368
勝手に世代の違いにされてはかなわん。
単にヤツが不勉強な愚か者なだけだろうが。
370:名無しさん@十周年
10/04/09 02:46:13 kNCMehkD0
>>369
あ、ごめん、
言いたかったのは、そのくらいの時代の知識で独立して、勉強しないでコーディングばっかりしてる人って
意味で書きたかったんだ。謝る。
371:名無しさん@十周年
10/04/09 06:44:10 5dhRcTXo0
>>362
> それについては>>331のページに「1←←必要」というわからん人にとっては謎の記述が。
おお、そんなところに書いてあったのか!
・・・・ってそんなところに書かずに元ソースに書いとけって気がするがw
でも、「1;」を書く場所あれじゃ分からんだろ・・・・。
> そう書けと言っていないんだから、突っ込む所どころか
> 脆弱性そのものだと思うんだが……
サンプルでも普通に
> #複数登録するときは、カンマで区切って追加。
> $login_check_ip ='220.122.95.169,200.142.97.169';
とか書いてるしなぁ。
372:名無しさん@十周年
10/04/09 07:01:25 rYfUdTNi0
セキュリティに詳しくない俺にB型H系でうまく例えて
373:名無しさん@十周年
10/04/09 07:06:02 y6K7V6Lf0
>>372
絶対に入れちゃダメ。
と言いながら、濡れマンフルオープン状態。
M字開脚で、ベッドに寝そべって、お前の
角度に合わせて受け入れ態勢万全。B。
でも、入れちゃダメ。
相手が入れちゃダメって言ってる以上、
いくら受け入れ態勢万全であっても、不正
挿入になるから注意。B。
374:名無しさん@十周年
10/04/09 07:21:54 cMABb0e30
>メッセサンオーのスクリプトは2004年の物
2004年でも、GETで平文パスワードはあり得ない話だったが…
375:名無しさん@十周年
10/04/09 07:34:20 EvMYKlce0
>>374
その時代より前のDNAをもった化石が、今回大量に発掘されただけです。
376:名無しさん@十周年
10/04/09 07:46:03 fZzgX3VYO
で結局、Google先生にURL教えたのは誰なんだろね。
やっぱりchromeかツールバーなんだろかね。またはGoogleブックマークかgmailか。
Yahoo!もbingもURL拾ってない以上、グローバルな領域に曝されてたわけでは無さそうだし。
377:名無しさん@十周年
10/04/09 07:51:43 /c4UzTmY0
これこそ魚拓とったんだろうな
378:名無しさん@十周年
10/04/09 10:13:34 FmA6LVFt0
ひさびさにノーガード戦法の極地を見た
あえて、じゃなく、せいいっぱいってところがまたかわいい
379:名無しさん@十周年
10/04/09 10:16:36 slui0Ilr0
問い合わせを受けた時に自社のシステム上で顧客を捜すよりGoogle先生に
聞いた方が早いという斜め上の運用だったんじゃないだろうか
380:名無しさん@十周年
10/04/09 10:22:06 OFAqOtaM0
>パスワード付きのURLを一時的にもホームページで公開しないようにしてください
公開する理由あるのか?