パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱マテリアルがファイル丸出しで顧客情報漏洩」記事へのコメント

  • by Anonymous Coward on 2004年05月07日 18時02分 (#542666)
    今回の丸出し箇所で使われていたショッピングカート用のCGIアプリケーションは、これだったと指摘されています。

    ウェブ・ストアー [スタンダード・エディション] [webpower.jp]

    ダウンロードしてマニュアル(ReadMe/install.html)を読んでみると、こう書かれていて、セキュリティのリスクは説明されていません。

      private_html/ (WWWから直接参照できないディレクトリ)
        (可能な場合は"data"ディレクトリはここに設置。CGIの初期設定も変更要)
        data/
      public_html/ (サーバーによって名前は異なる)
        cargo/ (任意のディレクトリ)
          data/ [ 777] (ディレクトリ名はランダムな文字列に変更する。
            変更した場合はCGIの初期設定も変更要)
            .htaccess (.htaccessが使えるサーバーではアップロードする)
            data.txt // 自動生成
            env.cgi // 自動生成
            *.ord // 自動生成 (注文ファイル) *は注文番号
          index.html (既に存在する場合は不要。無い場合は空ファイルでよいのでアップロードする)
          cargo.cgi [ASCII 755]
          admin.cgi [ASCII 755]
    (以下略)

    cargo/ には index.html を置けと言いつつ、cargo/data/ に置けとは言っていないとか、突っ込みどころが満載です。
    • .htaccessで制御するつもりだったとか。
      • > .htaccessで制御するつもりだったとか。

        「(.htaccessが使えるサーバーではアップロードする) 」
        ってくらいだから、そのつもりはないのでしょう。
        • > data/ [ 777] (ディレクトリ名はランダムな文字列に変更する。

          とありますから、ディレクトリ参照ができないのが前提で、ランダムな文字列によって保護しよう、という発想で、.htaccess が使えればそれも併用する、と。
          ディレクトリ参照がで
          • > ということなのでは??

            そんなもんユーザに理解できるわけがない。

            「変更した場合はCGIの初期設定も変更要」と書いてあって、
            変更せずに初期設定のまま使ってもよいかのように書かれている。
            • >> ということなのでは??
              >
              >そんなもんユーザに理解できるわけがない。

              別にユーザが悪いなんて書かれていないですが・・。
              ドキュメントが悪い、作りが悪い、といえば、確かにそうでしょう。
              でも、セキュリティに配慮せず(できず)に設置しているほうもどうかという気がします(エンドユーザーじゃあるまいし)。外部のその手の業者に設置させたのなら、その業者のプロフェッショナルとしてのスキルを疑いますし、外注せずに内部で設置したのなら、内部でやるのに
          • >ディレクトリ参照ができないのが前提で、ランダムな文字列によって保護しよう、
            >という発想でhtaccess が使えればそれも併用する、と。

            人間の手動ディレクトリ参照を抑制するには有功だろうけど、スパイダーには
            無力なんじゃないかなぁ。

            そして、自分の名前をgoogleで検索すると、顧客リスト見つかってビックリすると…。
    • Windowsなマシーンで
      index.htmlと置いて見たが...
      index.htmだったとか

      うまく動いてない所たまにあります

      # index.html.htmってなんですか?
    • by Anonymous Coward
      要するに、こういったWeb関連のものは、予算が出ないんでしょうね。だから、外部から安いものをもってきて使う。検証はもちろんするだけの予算がない。みんな自分たちの、世間様から見れば少々高い人件費に回っちゃうから、開発費用が出ない。こういう組織に限って、役員のボーナスを少々削って、開発予算に回せば問題ない、という程度のことなのに、こういうことで大穴空けちゃうんだよね。

      三菱グループのような古い体質の役員が跳梁跋扈している会社群(なにも三菱系に限らないけど)では、その役員自身の現場把握の能力がかけらほども無い、かつ、その体制を変革す

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...