WEB インベンターのショッピングカートにアップデート版が登場 47
ストーリー by reo
DKHN 部門より
DKHN 部門より
あるAnonymous Coward 曰く、
4 月 6 日のストーリー「メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」で話題になった、「WEBインベンター」のショッピングカートシステムだが、4 月 7 日付で「管理プログラムのセキュリティーの向上」と題したアップデートが出た。これによると以下の4つの対策がとられたという。
- クッキーによるログイン方式。
- 指定した IP アドレスからのみ管理プログラムにアクセスできる。
- パスワードの暗号化。
- メールフォームのスパム対策など。
このアップデートのお知らせには「新バージョンの管理プログラムのサンプル」が列挙されており、例えば「sample/SPF910/setup.cgi」で管理画面を試すことができるようになっている。お試し用の管理者パスワードが公開されており、それを入力するとログインできるのだが、Cookie にはそのパスワードが生のまま入るようだ。そうすると、「パスワードの暗号化」というのはいったいどういうことだろうか。
また、サンプルの会員管理画面には、テスト用の疑似個人情報のリストがあるのだが、そこから 1 人の会員を選んで、会員個別の情報の画面を開くと、会員のパスワードも生で保管されていることがわかる。しかも、その画面のURLは、member.cgi?entry_no=XX&ID_NAME=XXXXX&PASS_W=XXXXX&mode=renew1 という形式になっており、ユーザの ID のみならずパスワードまで URL に載せられてしまっている。はたして、このシステムは安全なものになることができるのだろうか。
水無月ばけらのえび日記の記事によると、ユーザが会員登録時に入力したパスワードや名前などの個人情報データも、全てそのまま Cookie に格納しているらしい。パスワードの暗号化というのはきっとサーバ側の話題なんじゃないかな ! つまり今までは平文で…。
逆に考えるんだ。これは「公開コードレビュー」と考えるんだ (スコア:3, おもしろおかしい)
無料でガシガシ検証してくれるんだから、開発側としては結構おいしいのではないかと…
お金払ってやってもらうと意外と高いし。
疑問:ネットで悪評が広まるリスクは無いのか?
回答:ネットの悪評を気にするような客層はそもそも相手にしていないので、心配はご無用です
Re: (スコア:0)
あっちはレビューではなくデバッグでしたが
Re: (スコア:0)
セブンアンドワイ方式でしょう
これもデバッグか
$_REQUEST[]使って、そのままほったらかしだったとかさ (スコア:2)
>つまり今までは平文で…。
いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
#中の人が中のURLを意図的に外に貼るか、Googleに手作業で登録するかしない限りは
#起きない事件のような気がするけどな。
Re:$_REQUEST[]使って、そのままほったらかしだったとかさ (スコア:3, 参考になる)
この件でどこかに書かれてたような気がするけど
使用者のブラウザのツールバーなどで
(設定によりますが)自動的にURLをクロールしていたりしますので
普通にアクセスしてるつもりでクロールされている場合もあるんですよ。
# 最低限GETでpassとか送るのはやめて欲しい
Re:実名出しますけど (スコア:2)
Alexaのツールバーはクロールするって言いますよね。ああ、書いちゃった。
#挙動不審なのは同意。ああ、これも書いちゃった(爆
Re: (スコア:0)
cookieみたいにドメイン制限するとかできないの?
#気持ち悪いのでその手のツールバーは使ってません
Re: (スコア:0)
両方とも問題あるでしょう。そもそもURLにパスワードが含まれるような設計になっていなければ、
そのようなツールバーを使っていたとしてもこの件に関しては問題ないわけですし。
もちろんその手のツールバーが気持ち悪いのは私も同じです。
Re:$_REQUEST[]使って、そのままほったらかしだったとかさ (スコア:2, 興味深い)
URLに生のログインIDとパスワードを入れた状態でも、
サーバに保存されたパスワードハッシュと比較して認証することはできます。
また、サーバに菜パワスワードが保存されていなくても、クライアントから生パスワードを送らせる認証方法なら、
折り返しURLやクッキーに生パスワードを入れることができます。
ですから、
> >つまり今までは平文で…。
> いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
「サーバ側に生のパスワードを保存するかどうか」と、
「クライアント側でURLに生パスワードを埋め込んだり、クッキーに生パスワードを埋め込んだりするかどうか」は、
別の(直交する)問題です。
URLに生パスワードが入っていると、検索エンジンに拾われるなど、特定個人のパスワードが流出される可能性があります(論外)。
サーバに生パスワードが入っていると、利用者のパスワードがサーバ側から流出してしまう可能性があります。
この二つは別な理由でヤッたらダメな話ではないかと。
提案 (スコア:0, おもしろおかしい)
今日いちばん光っていた発言賞とか作ってはいかがでしょうか?
本日回転のカフェ (スコア:0)
「なまぱすわーど」(生パスワード)と書こうとしたtypoでしょ。騒ぐほどのもんでも
Re: (スコア:0)
登録会員個々のパスワードは、すくなくとも一方向ハッシュを使っては無いようで、パスワードを知ることができるようになってます。
「パスワードの暗号化」というのは復号可能な暗号化なのか、管理パスワードのみ暗号化なのか。
たぶん、セッションが無いので、個々の会員情報を操作するのにパスワードが必要な作りなのでしょう。
今後とも「ある専門家」様の活躍を期待したいところです。
携帯コンテンツだと (スコア:2)
引き回しの関係でURLにくっつけたりしますけどパスワードをそのままくっつけるってのは見たことないですね。
でもプログラム書き始めの頃は似たような事やったこと(パスワードそのままはさすがに無いけど)あったな~
やっぱり(?)5百円 (スコア:2)
この件の利用者への謝罪のほうの話ですが、
こちらのページによると謝罪額は5百円のクオカードだそうです。
カオスな情報置場 - メッセサンオーは個人情報流出事件のお詫びに500円のクオカードを送るようです
http://shakediary.blog93.fc2.com/blog-entry-2494.html [fc2.com]
これは納得しないだろうなあ。
Re:やっぱり(?)5百円 (スコア:4, おもしろおかしい)
Re:やっぱり(?)5百円 (スコア:1)
「全7種類、うちシークレット一種」くらいでがんばって欲しい。
#あ、いやべつに俺が欲しいわけじゃないぞっ。
Re: (スコア:0)
コンプリートするには最低7回個人情報を情報流出させなきゃいけないんですか。
# 流出経路もWinny, Gumblarと各種取り揃えております。
## 嫌すぎる…
Re: (スコア:0)
エロゲ購入だし、毎回使い捨てアカウントを作っては破棄という可能性はありやなしや。
別の名前で別アカウントを取得していれば最強ですね。発送先住所がネックだけど、
これもコンビニ受け取りがしていできれば同一人物の証拠にはならない。
Re:やっぱり(?)5百円 (スコア:1, 参考になる)
でも、500円分のお好きな絵柄のQuoカードを差し上げます。
絵柄一覧(いろいろもえもえーなえろえろーなの)
だったら許してしまいそうになる気がする私(一応自分は流出は免れたけど)
Re:やっぱり(?)5百円 (スコア:1, すばらしい洞察)
そんなこと言ってると、
どんな絵柄のクオカードをもらったか、
もう一度漏洩しますよ、きっと。
Re: (スコア:0)
ソフトバンクと丸紅は悪しき前例を作ってしまったと思ってるのでAC
Re: (スコア:0)
ケータイの番号変えたんで2100円かかったんだけど。
一方モンベルは (スコア:0)
あれ (スコア:1)
他人をdisるのはいいけど (スコア:0)
Re:他人をdisるのはいいけど (スコア:1)
ご指摘 thx です。修正しました。
Hiroki (REO) Kashiwazaki
ケータイ業者脳 (スコア:0)
素直にフリーのを (スコア:0)
Re:素直にフリーのを (スコア:2)
「フリーとかオープンソースのショッピングカート」……。
これが意外に無いんですよね~。
#Zen Cartで死んだことがあるのでID(-_-)
Re: (スコア:0)
日本人ならEC-CUBE使ってやれよ。
Re: (スコア:0)
参考 http://d.hatena.ne.jp/zan-gyo/20090602/1243923480 [hatena.ne.jp]
Re:素直にフリーのを (スコア:2, 興味深い)
EC-CUBE に関する、参考でだされたブログの内容は多いに賛同します。(特に 9 の問題は大嫌いです)
ロードマップ
http://xoops.ec-cube.net/roadmap/index.php [ec-cube.net]
らしいのですが、ちょっとまだまだ達成されていない感じがあります。
コミュニティー版との統合を 2.5 で果たすようなので、
http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=5385&... [ec-cube.net]
これらが完了した後は期待してもよいかなあと思います。昔に比べたら、かなり改善していると思いますよ。EC-CUBE は。
というわけで、EC-CUBE は WEB インベンダーのやつと比べたらさすがにかわいそうです。どっちか選べと言われたら迷わず EC-CUBE を選びます。(笑)
Re: (スコア:0)
ビジネスロジックに直結するために一般化が難しいのと、
作るのが決して難しくないのでオープンソース化するメリットがないからでは。
1、作り、検証するのは難しいけれど、
2、多くのユーザーが同じ汎用モジュールを利用できる。
ものにオープンソースはむいている。
ショッピングカートはその正逆をいってる。
暗号化 (スコア:0)
PASS_Wと書かずにKanShaDaと書くようにした事を指すんですよ。
な、なんですってー???
タイトルを (スコア:0)
タイトルを「WEBインベーダーのショッピングカート」と読んで、
インベーダーゲーム風ショッピングカートシステムでも作ったのかと思ったら全く違った
ゴミ仕様 (スコア:0)
これだから能力がないゴミには困る。
最低でもセッション使えよ。
もう少しがんばるならページ以降毎にセッションIDを変更する。
これだけでもかなり違うのにパスワードをそのままクッキーに保存って何年前の仕様だよ。
ゴミ開発者は淘汰されるべき
Re: (スコア:0)
セッション様ですね。ええ、ええ。
よしみんな起業しよう (スコア:0)
こんな能力がない開発者が起業できるんだ。
みんな大丈夫だ。起業しよう。
Re: (スコア:0)
俺も元気でてきたよ!!
Re: (スコア:0)
・素人から見た外見が悪いが、その実装が素晴らしく、簡単にカスタマイズできて外見を今風にできるソフト
どちらが売れるかというと、前者なんですよね
外面を簡単に変更できるように作り込んだからこそデフォルトは素っぴんで、なんていう美学は通用しない
WEBインベンターのシステムを使っていると思われるとこ (スコア:0)
Re:WEBインベンターのシステムを使っていると思われるとこ (スコア:1)
そのURL中にないけどメッセサンオー以外にも管理パスワード漏れてるサイト [livedoor.jp]結構たくさんありましたよ。
メッセサンオーの落ち度はパスワードを長期間変更していなかった事で、
WEBインベンダーが賠償すべきだと思うんだな|;・ω・)
しかしアップデート版の杜撰さも先週予想した想定内だった [livedoor.jp]のがなんとも…。
Re: (スコア:0)
もし、契約内容によらずに賠償責任がWEBインベンダーにあるという判決が出るのであれば、俺はフリーウェアの提供やめるぞ。
Re:WEBインベンターのシステムを使っていると思われるとこ (スコア:1)
フリーウェアは契約書の直接のやり取りは無いですし、無償のものだから責任が利用者側にあっても仕方ないと思うんですが、これは『製品』で、有料で買ったものですから同列にはできないと思うんです。
例えると、有償のアドレス帳管理ソフト買ったら、ソフトに欠陥があって、登録した人の個人情報が流出してしまった。
ソフトの提供元は使い方に問題があったとして、ソフトの修正はするものの、ソフトの修正が終わるまで
他のお客さんには一切連絡無し。でも、実際他にも利用者で個人情報が流出しているお客さんはいた。
ソフトベンダーの対応が悪すぎた上に、使った人が悪いから登録した人たちから賠償しろって言われてるみたいな印象なんで酷いなぁと。
Re: (スコア:0)
メッセが訴えるとしたら民事の損害賠償だし、
ソフトウェアの瑕疵による契約不履行(欠陥製品の納入)が争点じゃね?
#個人的には詐欺(刑事事件)の可能性もあると思うけど。
ダメだこりゃ (スコア:0)
そのアップデートのエントリに追記がされているのですが、
セキュリティ強化見直し終了だそうですが、ここのタレコミで指摘されている問題は一切直されていません。
空目 (スコア:0)
ブラウザゲーム? オンライン?