パスワードを忘れた? アカウント作成
208584 story
セキュリティ

メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI 124

ストーリー by hylom
世の中の技術・セキュリティレベルはこんなもんです 部門より

Anonymous Toward 曰く、

INTERNET Watchの記事が伝えているように、4月2日、ゲームや同人誌などを販売するメッセサンオーの顧客情報がGoogleにキャッシュされ、誰でも閲覧できる状態になっていたことが発覚した。現在はキャッシュが見えないよう対策されているが、m-birdの日記などによると、使われていたショッピングカートの管理画面が、URLにパスワードを含む仕様になっていたのが原因らしい。INTERNET Watchの記事は「追記」として、これがWEBインベンターが提供するCGIスクリプトだとし、開発元が対策を呼びかけていると伝えている。

しかし、その対策元の呼びかけは、「管理プログラムがGoogleにインデックスされないようにする」というもので、

  1. 「パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください」という注意喚起
  2. metaタグ(noindex,nofollow,noarchive)の挿入とUser-Agentによるクローラの排除を導入した最新バージョンへのアップデートの呼びかけ
  3. 「検索エンジンにインデックスされてしまったときの対処」

の3点であり、そんなのでは対策にならないという指摘がはてなブックマークで大量にコメントされている。

開発元は、従前から「ショッピングカートCGI設置方法(Q&A)」の「管理画面の呼び出し方法」として次の注意書きをしており、問題がいずれ起き得ることは認識していたことがうかがわれる。

管理画面を呼び出し、パスワードを入力すると、パスワードがアドレスバーに表示される場合があります。これはパスワードをCGIで受け渡ししているためです。それを表示したくないときはフレームを使うことをお勧めいたします。

その後、開発元からの呼びかけに、「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」という追記がなされたが、はたしていったいどんな改良版が登場するのだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by moca (33770) on 2010年04月06日 18時01分 (#1744334) 日記

    携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。
    専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。
    ベーシック認証、クライアント証明は考慮外です。

    step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめる
    step1: パスワード送信をPOSTにしてPOSTのみ受け付ける
    step2: ログイン画面以外は、パスワードを利用せずにcookieを使う
    step3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使う
    step4: cookieにはsecureフラグを立てる
    step5: cookieには基本的にセッションIDのみを保存する
    step6: セッションIDをjsessionidやphpsessionidなどでURIに含めない。受け付けない。(NG例:ぐぐる)
    step7: セッションIDには推測されない一時的に生成されるIDのみを使う(NG例:JVN#07468800)
    step8: ログイン前後でセッションIDを共有しない
    step9: パスワードを変更したら、サーバー側で古いセッションIDを無効にする(NG例:twitterのidのっとり事件)
    step10: パスワード再確認などを併用してセッションIDのサーバ側有効期間を短くする(例:yahoo)
    step11: ログインIDとユーザーIDを分離する(例:mixi/ねとげ)
    step12: ログイン追跡機能をつける(例:unixのlast login/yahooの履歴)
    その他1: サーバー側のDBでのパスワード保存は、saltつきのハッシュ値などにする
    その他2: CSSXSS/CSRF/XSS対策、正しいエスケープ処理をする
    その他3: 簡単ログインを実装しない
    その他4: メールでのパスワードリセット・確認はメールアドレスの生存期間を考慮した仕様にする(NG例:iTunes)
    その他5: 脆弱性が公表されているバージョンのソフトウェアを使わない

    • by TarZ (28055) on 2010年04月06日 18時10分 (#1744346) 日記

      専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。

      # これはがくっときてしまう人多そう…。

      たとえば、IPAではこんなのを用意しています。これで完全だとは言いませんが、指針として目を通しておいたほうがよいでしょう。

      安全なウェブサイトの作り方 [ipa.go.jp]

      親コメント
      • ># これはがくっときてしまう人多そう…。
        確かにIPAの存在も忘れてましたが、法人ではなくて個人を想像したコメントでした。
        IPAがまとめてくれているので、個人でまとめる必要はないわけですね。
        プログラミングガイドとかも、そういえばIPAでした。

        脆弱性でデータ流出とかは話題になって(個人的には)記憶に残りやすいです。
        一方「IPAが仕事しました」というのは、内容がおかしかったら話題になるけど、内容がまともすぎて、話題・記憶に残りにくいのかもしれません。
        blogとかで紹介するときも、「IPAがまとめています→リンク。参考になります。」という感じで触れられるだけですから、
        後で読もうと思ってリンクをたどらず、つい読み飛ばしてそのうち忘れます。

        現場で、「IPAのこれ読んで」とか上に言われて渡されたりするのか、もしくは上の人は、渡したり確認したりしているんでしょうか。

        #ここはひとつ、萌えキャラで擬人化してみんなに覚えてもらうというのはどうだろう。

        親コメント
  • by Livingdead (18685) on 2010年04月03日 15時49分 (#1743059) ホームページ 日記

    「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」

    開発元の中の人はアホですか・・・?
    どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。
    わかってないんだろうな。

    --
    屍体メモ [windy.cx]
    • Re:GETとか関係ねぇ (スコア:4, おもしろおかしい)

      by denchu (6847) on 2010年04月06日 17時01分 (#1744281)

      「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」

      どのメソッドを使うかとかそういう問題じゃないってのがわかってないんだろうか。
      わかってないんだろうな。

      GetからPutに変更しました!
      という修正になる予感がしました。

      親コメント
    • by Anonymous Coward on 2010年04月06日 17時21分 (#1744295)

      あまり理解してないので、誤解があったら指摘していただきたいのですが。

      google AnalyticsやリファラなどでIDやパスワード情報をURLに含んで渡っていた事が
      管理画面までクロールされてしまう原因となったので、とりあえずURLにIDやパスワー
      ドを含まないようにするというのは、対策の一つとして必要なのでは?

      勿論、そもそも不特定多数がアクセス出来るような場所に管理画面を置いておくんじゃ
      ないよ!とか。ボットにクロールされるようにしとくな!とか、色々あるとは思いますけど。

      サーバはお客さんの自主管理で、汎用的なネットショップスクリプトみたいなものを
      売るとしたら、意外と厄介だと思うんですけどね。

      親コメント
    • 成り上がり (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2010年04月06日 17時23分 (#1744300)
      某所で使えたナイスなURL(仮名)

      http://example.com/hoge/menu.cgi?admin=1

      まあ、すぐ対策されましたが
      親コメント
  • by Anonymous Coward on 2010年04月06日 16時44分 (#1744268)

    四月馬鹿としか思えない杜撰な実装に、間の抜けた修正。

    しかし、それ以上に悲しくなるのは、値段もそれ相応だったらしいということ。
    そりゃその価格じゃこの品質も妥当だろう。賞味期限を1週間過ぎたコンビニ弁当を
    50円で買ったようなもんじゃ。

    しかし世間じゃこのくらいの価格でも、優れたUIと最新のセキュリティが
    オマケでもれなく付いてくると思われていたり。orz

  • 電電公社では… (スコア:2, おもしろおかしい)

    by 90 (35300) on 2010年04月06日 16時51分 (#1744273) 日記

    docomo IDを作ると生でパスワードを保管されてしまう [takagi-hiromitsu.jp]

    これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。

    相変わらず理解できない文章を書く人ですね。IDとパスワードは大事なんだし、オリジナルを保存しておいて照合する人が大多数なのに(笑)

    • by upken (38225) on 2010年04月06日 17時10分 (#1744287)

      エイプリルフールは過ぎていますよ。

      親コメント
    • by Anonymous Coward

      そのコメント、いくらなんでもネタですよね?

  • by nipo (34616) on 2010年04月06日 16時49分 (#1744272)
    CookieがいらないんならNCSA Mosaicでも使えて便利な管理画面。
  • by Anonymous Coward on 2010年04月06日 16時51分 (#1744274)
    自分のHPのアクセスログ見たら、リファラーのURLにパスが含まれているのがあった。
    友達のだったのでクリックしたらそのままログイン出来てしまったぜ。
    その友達にリファラーもどうにかしないとヤバイと教えてやった。
  • by Anonymous Coward on 2010年04月06日 16時39分 (#1744265)

    大手企業サイトでもいまだにFTPとパスワード認証で更新してるところが驚くほど多いってGumblarが実証してくれたわけだし。
    日本人ってどうして自分の中だけにある完璧な理想を周囲に押し付けたがるんだろうね。

  • by Anonymous Coward on 2010年04月06日 17時09分 (#1744285)
    人に知られたら恥ずかしいようなものを買うのに、
    実名出して通信販売を使うって神経がわからん。
    • by preliator (34473) on 2010年04月06日 17時36分 (#1744308)
      え、別にそれは人それぞれでは?
      通販=流出するなんて前提がないわけですし。
      直接店で買う、通販で買う、人に知られたら恥ずかしい商品なんてものは、
      人それぞれ違うと思いますよ。
      実際自分も、自己啓発の本をAmazonで結構買ってますが、知られたらちょっと恥ずかしい(笑)
      そもそも今回の件では間違いなく開発元、運用先が悪いわけなんですから
      被害者を責めるのは筋違いでは?

      #誤解なきように言っておきますが、
      #別に私が被害に遭ったわけではありません(笑)
      親コメント
    • 俺がエロゲ買ったところで気にしてくれる人がいるのだろうか。いやいない。
      親コメント
    • by northern (38088) on 2010年04月07日 20時13分 (#1745104)

      >人に知られたら恥ずかしい

      店頭は一時の恥、通販は一生の恥

      といううまいコメントを見かけたw

      親コメント
  • by Anonymous Coward on 2010年04月06日 17時11分 (#1744288)
    もうどうにもならねーから
    タカギちゃんを国のセキュリティ大臣にして何とかしようぜこれ
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...