Lucrezia Borgia の Room Cantarella

はぁい。はじめまして。ルクレツィア ボルジアのカンタレラ部屋へようこそ。
主人のルクレツィアです。
簡単に、この部屋の主旨を。
この部屋は、コンピュータ技術関係のお話をするところなの。っていうかあたしの雑感を書いてるってほうが正確かしら?
あたしの主観で書いてるから、内容には要注意よ。原典と自分の意見くらい、きちんと自分で処理してね。あたしが処理して上げられるのはがちむちイケメンの殿方の下半身くらいのものよ。
カンタレラ、ってのはとっても素敵なお薬のこと。興味があったらGoogleにでもいって調べてみて頂戴。か弱い女に頼りっぱなしじゃだめよ。
名前のとおり、この部屋に書く内容にはたっぷり毒をまぶす予定だわ。即効性も遅効性も含めて。あま〜〜い、毒をね。

最近の見出し

2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 05 | 06 | 07 | 08 | 09 | 10 | 11 |
2007 | 05 |
2008 | 01 | 11 |
<< 2006/08 >>
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31
プロフィール

Lucrezia

あら? あたしの事をそんなに知りたいのかしら?

 | 

2006-08-03

強いはずの日差しが空々しく感じられてしまうのはどうしてかしら?

お蕎麦なら干乾びてしまいそうよ?

久しぶりにちゃんとした技術ネタよ。特に、いわゆるWebアプリケーション*1を作ったり設計したりしている連中は耳かっぽじってお聞きなさい。よろしくってかしら?


なんていうか…なんとも言えず愚かなセキュリティホールを拝見いたしましたの私ったら。

そのサイトは、セブンアンドワイ株式会社さんの運営なさってらっしゃる セブンアンドワイ ( http://www.7andy.jp/ ) 。

あたくしったら、ここの会員になってみましたの。で………とても驚くものを拝見したわ?


会員情報の変更画面があるの。

少なくとも今時点では、メールアドレスを変更する、住所/電話番号を変更する、ID/パスワードを変更する、の3つのメニューがあるわ*2

もちろんこの時点で「3つともURL一緒じゃん」とかいう突っ込みは置いておくとして。とりあえずその画面に伺ってみると………そこには、驚くべき出来事が待ち受けていてよ?


その画面には、パスワードと、パスワード(確認)の入力項目があるの。………ちょっとばっかり冷静に見ると。INPUT boxの中が、なぜか*で埋まっているわ?

ええもちろん「それはダミーでね」って可能性が否定できるものではないと思うの。となると…やっぱり女としては「つい裏側を覗いてみたくなる」ものではなくってかしら?

もちろん拝見させていただくわ「御宅のHTMLソースコード拝見」のお時間よ?

お嬢様? どうなさいましたか、いきなり悲鳴を上げられて………をを気絶なさっている!! はやくラベンダー油をお持ちしなければ!!!

ああバトラー、ローズマリー油を持ってきて頂戴? このままじゃ早晩記憶を失ってしまいそうよ?

ふぅ…びっくりしたわ。………正気かしら?

hiddenに、パスワードダイレクトに生にそのまんま拝見できる状態で書いてあるってどういうことかしら?

…言っててまた眩暈してきたわよ。

なんていうか…ありえないわ? こんな愚にして堕なサイト、まだ存在していたのね?


しかも、その次の確認画面がまたなんとも秀逸だわ?

hidden項目のオンパレード。CIDとかってのも気になる感じですしemailやuser_id がダイレクトに入っていたりするのも物凄く気になるんですけれども。

hidden.item.keyってなにかしら? hiddenとはいえ4000バイト以上データ持たせるのって大抵正気の沙汰とは思えなくってよ?*3

しかもそのデータときたら、0-9とa-fまでしか使っていないの。あらあらこれってまるで16進数を拝見しているみたいじゃなくってかしら?

ええもちろん。その16進数からjava.util.Hashtable とか jp.ne.eshopping.eshop.member.EsiChgMembersInfoCtrlsr とか jp.ne.eshopping.was.base.WasParameter とかなんて文字列が推測できるなんて事は決してありませんことよ?

当然、入力データが生で見れるなんてこともなければ、書き換えられそうだなんて感じの印象を持つこともありませんわ?

ですからもちろん「Hashtableシリアライズしただけじゃん」とか「どうせinのチェックしてないだろうからデータ改ざんして」とか「データ領域あふれされることが出来たら」とか、そんな邪悪な発想なんてまったくありませんことよ、ええ(邪笑


…こんだけ突っ込みどころ満載でダメサイトも久しぶりだわね?

どうかしら、これを設計なさった方は、是非一度「0からやり直してみては」如何かしら?


もちろんこんだけダメサイトですもの。ここで終わらないあたりがなんとも期待を裏切らない感じだわ?

あたくしは、まず6月の終わりごろにご連絡を差し上げましたの。早急な窓口からの返信と、ちょっと遅くはあったんですけれども技術系の部署と思われるところからの丁寧な返信があったので、あたくしはとても安心しておりましたの。

どんな御仁だって、ミスくらいは起こしますわ*4。何はともあれ、きちんとしたお返事が頂戴できるのであれば、あたくしとしても「ご連絡差し上げてよござんしたわ」って思えて、豊満な胸をなでおろしつつゆっくりできるんですけれども。


…8月に入ってなおまったく改善されていないってどういうことなのかしら?

もちろんあたくしとしては再度ご連絡を差し上げたわ。「いったいどうなっているのかしら?」って。

でも…残念なことに。まったく同様に「色よくなにも理解していない雰囲気を漂わせた上っ面だけの回答」がかえってきてよ?

挙句に出てきたのが「8末を目処に修正を予定している」ですって? 冗談じゃなくってよ?


一応ここで、修正方法を教えておいてあげるわ?

パスワードは当然ながら、value部分には何も入れないの。で、処理の時に

  if ("" != password) {
    パスワード変更用処理
  }

っていう風に流すの。たったこれだけの修正にどれくらい時間かけるつもりかしら?

データの持ちまわり方は…javaでしょ? session関連のクラスくらいた〜っぷりと存在していてよ?

もちろん場当たり的に「とりあえずデータをちゃんとした暗号関数使って暗号化する」って手もありえるわ?

こんなもん、せいぜい数時間以内に対応すべき内容よ?

しかも、そういった時間の話をしたらかえってきたのは

弊社ではお客様へのご回答は、

お問い合わせいただきました順に随時ご対応させていただいております。

ですって? まぁそれじゃ「6月末より以前からず〜っと並んでいる」のかしら?

もうちょっと状況をきちんとご覧になってからご返信あそばせ?

「もうちょっとで対応できます」もあんまり過ぎると信用を失ってしまいましてよ?

まぁもっとも。

先日よりご指摘いただいております件でございますが、

弊社担当部署でも現象は把握いたしております。

ってあたりが…把握できてないんだか理解できてないんだか、いい感じに過ぎるわね。

そんな認識なら、きっと「どこまでもどこまでも」お客を「もうちょっと」って言って待たせてしまいそうだわね?


結局のところ。素人としか思えない設計とつくりと、その後で客のクレームを上っ面だけで流していく厚顔無恥なやり口が、どこまでもサイトの品位を叩き落しているわ?

カスタマーサービスからのメールが全部「違う人だった」あたりからして…もしかしたら、連携すらろくすっぽ出来てないんじゃないかしら、って勘繰りすら出来てしまうわ?

こんなんじゃ、見えない部分のセキュリティなんてもっと酷くて惨いことがいくらでも想像できてしまってよ?


始まりは大切で、でもその後の事後処理っていうのはそれ以上に大切なの。

もっとも、どちらも出来てないんじゃ、論じても詮無いことなのかしら?

ほら、きっと現場はとてもお疲れよ? 特製のロイヤルミルクティは如何かしら? たっぷりの粉砂糖が入った、天にも昇るほどに素敵なお味よ?


追記よ。

さきほど、メールがまた来てたんですけれども。

お問い合わせの件につきましては、

先程もご案内いたしましたが、

担当部署でも現象の把握ができております。

あらあらちゃんと把握できているのねぇすごいわぁ。

「もし」本当に把握できているとして。あたしなら、金切り声上げて技術部に殴りこみにいってるような気がしてよ?

ま、状況わかってて「あと一月」とか言ってるんですから…きっと大丈夫なんじゃなくってかしら?

「なにが」大丈夫なのかなんて、あたしのセンスじゃ全然わからないんですけれども。


*1:この呼称大っ嫌いなのよねぇ。いいじゃないCGIで、って思わなくってかしら?

*2:…たしか以前は「登録内容の確認/変更」って1つのリンクだったように思ったんですけど、気のせいだったかしら?

*3:そも「データを持つこと」自体がおかしさの極みなんですけれども

*4:っていうほどヌルいミスでもないように思われるんですけれども…

寧 2006/08/03 22:27 あたしは別に怪談には強い方だけど、それでもこれはゾクッときたわねー。まさにちょっと蒸し暑い真夏の夜にピッタリの怪談、って感じ?

最近社員の不正が発覚した某ネットゲーム管理会社とか、こことか、ソフトバンク系列ってセキュリティの意識がザルというか猿レベルなのかしら。
それとも敢えてセキュリティを緩くすることで情報漏洩に備えるカカクメソッド((C)ルクレツィア ボルジア様)の新手?もうバラされちゃってるから役に立たないと思うけど。


あー、書いててもっと恐ろしいこと、思いついちゃった。
1)ある社員が故意に脆弱なCGIを作る
2)その社員が脆弱性がバレたあたりを狙って個人情報を売却
3)その後「ハッキングした側が悪いんです!自分たちもちょっとは落ち度があったかもしれないけど被害者です!」と。
4)情報漏洩の原因は「ハッキングした側」ということにしてTHE・END

カカクメソッドの斜め上を行く・・・


ビールでも飲んでとっとと忘れて寝るのが一番かしら。

お名前お名前 2006/08/04 08:48 オカマ言葉で書かれたら読みにくいです。

おーかわおーかわ 2006/08/04 16:37 今回の記事興味深かったと同時に不安になりました。
不安になったので「セブンドリーム」を確認したところ不安的中、セブンアンドアイと同じくhidden項目の嵐でした。

同じ業者が作ってる気がします。

もう一つ気にらないのがhtmlタグが大文字だったり小文字だったり統一性が無いのが性格的にダメです。

なまーえなまーえ 2006/08/04 18:33 べつにたいした問題じゃないのでは?
どういうときに問題になるんですか?
そのときはどうせ駄目でしょ?

どこもそうどこもそう 2006/08/04 20:53 顧客の事なんて何も考えてない
こういう開発っていつも自己満足で終わってるんだよね
でも、どこからも予算が出ないから仕方がないんだろうね

せとあずさせとあずさ 2006/08/05 01:09 Javaなら
if (!””.equals(password)) {
パスワード変更用処理
}
だと思います。

通りすがり通りすがり 2006/08/05 23:12 2〜3ヶ月前に7andy.jpで”c++”(半角)の検索を続けると、途中から”c”になってしまうっていう不具合を、具体例を挙げ、かつ原因推察をつけて投稿したものの、まだ治ってなかった‥。

1.検索キーワード”c++”で検索
2.全***件の検索結果一覧へ をクリック
3.次の20件 をクリック
4.検索条件: キーワード[ c (を含む)] に変わってしまう

LucreziaLucrezia 2006/08/06 21:52
To 寧。
…そうねぇ。あんまりにもおぞましすぎて、怪談云々なんてすっかり念頭から抜けてたわ。
斜め上は…現実的に「ありそう」だから怖いのよねぇ。
あたくしは、とりあえずフローズンカクテルでもいただきながら惰眠でもむさぼってみようかしら?

To お名前。
これは「おねぇ言葉」っていうのよ?
読みにくいのは諦めて頂戴。だってアタシの趣味なんですもの。

To おーかわ。
そうねぇ…「大手だからちゃんとしてる」とかっていう幻想はそろそろ本格的に”幻覚破壊”しないといけない頃だと思うわ。

To なまーえ。
放置しようかとも思ったんですけれども、一応、ね。
あらゆる問題は「たいしたことではない」わ?
そうして「全てに目をそむけてさもしたり顔でうなずく賢者モドキ」ほど幼稚なモノはそうはなくってよ?

To どこもそう。
あらきっと「顧客のこと」はとてもちゃんと考えてらっしゃると思いますわ?
「作成会社」が、顧客である「セブンアンドワイ株式会社」さんに対して、ですけれどもね。
正味な話。「設計段階でのセキュリティチェック」って、ものすごく重要なはずなのよねぇ。

To せとあずさ。
あら、あのプログラムがJavaだなんて、あたくしは一言も申し上げておりませんことよ?(邪笑
それはさておき。あたくしの流儀として「大抵のプログラム言語で通用する」記述をすることを好みますの。
そうすれば、さまざまな言語を学ぶ方が参考にできるでしょ?

To 通りすがり。
………やぁねぇなんかへんな幻覚が見えるわ。
なんていうのか…あまりにもお粗末に過ぎて、言葉もなくってよ?
多分、通りすがりさんの発言も、あたくしの発言同様「黙殺」されてしまったのね。
見る目がなければ、良寛の書も「ただの古い紙」でしかないんだわ?

tgztgz 2006/08/07 01:54 明らかに脆弱性がありそうですから、相手に報告するより IPA にチクった方が効果大でしょう。

LucreziaLucrezia 2006/08/07 03:34 To tgz。
そうねぇ。多分一般的には「正解」だと思うわ。
ただ、あたしはいくつかの理由から、まだIPAに対して少なからぬ不信感を持っているの。
そうねぇ…
http://d.hatena.ne.jp/Lucrezia/20040406#p1
http://d.hatena.ne.jp/Lucrezia/20040412#p2
http://d.hatena.ne.jp/Lucrezia/20041019#p1
http://d.hatena.ne.jp/Lucrezia/20050523#p3
http://d.hatena.ne.jp/Lucrezia/20050614#p3
http://d.hatena.ne.jp/Lucrezia/20050720#p2
http://d.hatena.ne.jp/Lucrezia/20040204#p1
あたりをご覧になって頂戴?
あたくしは、だから「IPAにご連絡差し上げてもさほどの意味はない」と思っておりますの。
…せめて、もうちょっと骨があるとよろしいんですけれども、ねぇ。

なあしなあし 2006/08/07 07:32 ++が消えるのはPostgresを使っているのでエスケープしたなんて事はないと思いますが。
ま、粗末にしても何かの対策をしたのでしょう…

さておき、こうして企業、サイト名を特定して情報公開(すでに先方には何度も言ってるとしても)
している以上、善意も無いが悪意も無い事を明らかにするためにもIPA通報は必要な手続きかと。
そういう意味を放棄して公開するリスクを恐れない、という生き方もあるでしょうが。

なまーえなまーえ 2006/08/07 09:02 これは脆弱性ではないから、IPAは受け付けないよ。

mama 2006/08/10 13:34 失礼します。
試しにWebpageのログインページを見に行きましたが、大笑いをさせて頂きました。
痛々しいのは、「個人情報を入力する画面は、すべて暗号化により情報を保護します」という一文
確かに、httpsなので通信路は暗号化されてるんでしょうが・・・

LucreziaLucrezia 2006/08/10 17:09
To なあし。
IPA通報は「望ましい手続き」だとは思うけれども、Mustではないと思っているわ。
まぁ悪意があったら、クラック方法を掲載するかしら…いいえ、本当に悪意があったら「何も言わずにクラック」しているわね(邪笑
こういった警告がどれだけ「手緩い」か、もう少し考えればわかりそうなものなんでしょうけれども。…わからないんでしょうねぇ、ああいった「企業にしがみついている」御大たちには。

To ma。
そうねぇ…最早笑うよりほかに、あたし達に残された術はないのかもしれなくってよ?
「暗号化により情報を保護します」は、オレオレ証明書でもよく耳にした件だわねぇ。
大切に大切に、厳重な警戒とともに嫁ぐアマンジャクを拝見しているようだわ?
だとすると、あたしはせめても「安全を謳ってるサイトに セキュリティホールだらけ ほーやれほー 大手サイトに 危険な穴だらけ ほーやれほー」とでも謡ってみようかしら?

 | 

楽しんでいただけたかしら?
いつか、あたしの事も楽しませてね

そうそう。最後に一つ。このPage、どうもIEで見るとインデントがおかしくなるみたいなのよねぇ。でも、あたしはOperaとFirefoxの人間ですし、そもこのテンプレートもはてなさんが用意してくださってるものなの。
インデントが汚いってかたは、ぜひあなたのその「汚いブラウザ」を乗り換えなさい。そうすれば見易くなってよ?