suroisuの日記

2008-11-16

比較チェッカーというのを作ってみました。

| 20:54

新しいサービス比較チェッカーというのを作ってみました。

比較したい2つの文字を入力し、GoogleYahoo!の検索結果数、Gooの辞書の内容、関連用語を取得するという物です。

シミュレーション」と「シュミレーション」どちらが正しかったっけ?とか「プログラム」と「プログラミング」どちらの方が良く使われているかなどをのキーワード調査などにも使えると思います。

機能はこの前に作ったアレとは?の使いまわしなのは内緒です。

うぇwwうぇっうぇwwwwwwwうぇwwうぇっうぇwwwwwww 2009/07/30 00:30
ドーユーリメンバー?私アルパカに似てるタケシねwwwwwww
んぉふーww 雑誌に載ってたのやってみたらコスプレ姫の魔法のフィラチオにハマっちゃって思考回路がフィラチオ中心になってるぉwwwwww
てか気持ちよくしてもらってんのに何で5万貰えんの? カオスwwwww

http://netoge.bolar.net/ESzfyZZ/

これはいい使い捨てwwwwwこれはいい使い捨てwwwww 2009/08/09 18:09
ナニコレwwww アフォほど女溢れてるんだがwwwwwwww
毎日毎日セクゥス三昧でもうティムポ一本じゃ足りないっすwwwwwwww
良いマヌコはキープするけど、基本はヤリ捨てでおkwwwwwwwwwww

http://ene.creampie2.net/Lg6iPIu/

えふwwえふwwえふwwwえふwwえふwwえふwww 2009/08/13 04:25
ケイジの奴・・ネットやっててコレ知らないって何なのwwwwww
金に困ってるみたいだから教えてやったらソッコーでヤりやがったしww
てかあいつキモデブなのに何でいきなり8 万貰えてんの???
わけわかんねぇしwwwwwww

http://kachi.strowcrue.net/LA60fNj/

メタボがアチイメタボがアチイ 2009/08/25 08:12
なんか俺妙に人気すぎるから昨日ハ メ ハ メした女の子に
理由聞いてみたら今メタボ超人気なんだってさ!!!!

お腹のポニョポニョだけじゃなくて包 茎が多いのも
ポイント高いっていうまさかのメタボ包 茎フィーバーwwwwwww

今月もうちょいで8 0 万貯まるし家でネトゲしまくって体型維持するわwww

http://okane.d-viking.com/S6wCUYb/

2008-11-12

Webサービス”アレとは?”に辞書検索機能をつけました。

19:24

先日リリースしたアレとは?Goo辞書の検索も出来るように追加しました。

今後もいろいろな機能をつけて、便利なサービスにしていこうと思います。

2008-10-28

一括検索ツール「アレとは?」をリリースしました。

| 22:27

久々にプログラミングして、一括検索ツールを作ってみたので公開してみます。

アレとは?

このツールは文言を入力して検索すると、入力した文言の翻訳(日本語訳・英語訳・中国語(簡体)訳・中国語(繁体)訳・韓国語訳)、ニュース検索、関連語検索、Wikipedia検索、2ch(2チャンネル)のスレッド検索、ブログ検索を一括で行います。

プログラミング

ブログ

インターネット

使用APIreflexaの関連語APIと、Find.2ch2ch検索APIと、Googleブログ検索APIと、Yahoo!検索ランキングを利用しています。

それ以外の部分に付いては自作の処理でデータを取得しています。


自分用に作って放置しておいたのですが、いつの間にかGoogleに拾われていましたので、正式に公開しました。

このままだとスパムちっくなので、もうちょっと機能を強化して、付加価値をつけたいと思います。


2008-11-10 追記

Goo辞書の検索も出来るように追加しました。

2008-08-11

ナチュラムさんからシステムに関するメールの返信が届きました(suroisuの日記版)

| 00:11

さて、タイトルの件です。

昨日、私が発見した以下の問題

1.パスワード変更画面の不可解な点。

2.ナチュラムのシステムのソースコードプログラム)が外部に公開されている。

3.個人情報が漏洩したにもかかわらず、個人情報Cookieに保存している。

についてナチュラムさんにメールを送ったところ、返信が来ましたので紹介します。


まず、私がナチュラムさんに送信したメール本文です。

(※個人情報セキュリティにかかわる部分は消してあります。)

ナチュラム システム担当者様

ナチュラム セキュリティ担当者様

いつもお世話になっております。ナチュラムを利用しているスロイス(実際には本名を記述)と申します。

システムとセキュリティに関しての報告と確認をしたいと思いメールをいたしました。

まず最初の件ですが、ナチュラムソースコードがWeb上に公開されているようで、Googleの検索にも表示されてしまっています。(aspファイルの拡張子htmlにしてしまっている為?)

http://www.google.com/search?q=site:http://www.naturum.co.jp(以下URLクエリー部分はセキュリティー的に略)

上記URLで表示される以外のサイトも公開されているソースコードがあるかも知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。


次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名とユーザーIDが暗号化せずに記録されています。情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、サーバーサイド側で対応したほうがよろしいのではないでしょうか?


最後になりますが、初回ログインパスワードの変更画面が表示されますが、旧パスワードと新パスワードが同じ物でも登録できてしまいます。パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が無いのではないでしょうか?

上記3点ですが、対応と確認をしていただければと思います。


メールの内容が言葉足らずで、分かりにくいかも知れません。

私がスロイスのハンドルネームで運営しているブログにも、図入りで詳細を記述したエントリーをアップしました。一度目を通していただけたらと思います。

http://suroisu.blog109.fc2.com/blog-entry-133.html

以上、いきなりのメールですが、ご確認いただけたらと思います。

今後もより良いナチュラムを運営されていくことを願っております。

よろしくお願いいたします。

スロイス(実際には本名を記述)

それに対してのナチュラムさんの返信の抜粋。

(※個人情報セキュリティにかかわる部分は消してあります。)

> まず最初の件ですが、ナチュラムソースコードがWeb上に公開されているようで、

> Googleの検索にも表示されてしまっています。

> aspファイルの拡張子htmlにしてしまっている為?)

> http://www.google.com/search?q=site:http://www.naturum.co.jp(以下URLクエリー部分はセキュリティー的に略)

> 上記URLで表示される以外のサイトも公開されているソースコードがあるかも

> 知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。

こちらにつきましては該当のものを削除いたしました。

他の部分にもないか現在確認中です。



> 次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名と

> ユーザーIDが暗号化せずに記録されています。

> 情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、

> サーバーサイド側で対応したほうがよろしいのではないでしょうか?

こちらにつきましては、現在影響範囲を確認中でございますが、

必ず現状のものとは変更を加えることをお約束いたします。



> 最後になりますが、初回ログインパスワードの変更画面が表示されますが、

> 旧パスワードと新パスワード が同じ物でも登録できてしまいます。

> パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が

> 無いのではないでしょうか?

こちらにつきましてもご指摘ありがとうございます。

対応を完了いたしました。

今回の問題に関するところだけ抜粋しました。

なお、ここには載せませんでしたが、メール本文は非常に親切丁寧な文章で書かれていました。

運営側の対応があまり良くないような噂は掲示板やブログなどで色々と見ましたが、このメールを書いた方、および素早い対応を取られたシステムとセキュリティ担当の方々には非常に好印象を抱きました。

これからが大変でしょうが、頑張っていただきたいと思います。

ナチュラムさんのメールの最後に以下のような一文がありました。

こうした皆様の意見は一つ一つが大変貴重なものです。

全社員一同、誠心誠意対応にあたって今後の信頼回復に努めて参ります。

ナチュラムさんと利用者でより良いサイトを目指して行くことができればと思います。




そして、早速なのですが対応していただいた『1.パスワード変更画面の不可解な点。』を試してみました。

パスワード変更画面で、新パスワードに旧パスワードと同じものを入力して『パスワードを変更する」ボタンを押下してみます。

パスワード変更

■エラー画面が表示されました。

パスワード変更

ナチュラムさん、早速対応していただきありがとうございます。



それにしても眠かったとはいえ、私がナチュラムさんに送信したメールの日本語が酷い・・・(笑

2008-08-10

まだまだ危ないぞ、ナチュラムの個人情報漏洩

| 22:46

こちらのエントリーと同内容です。

久しぶりにメールを受信したら、今話題のナチュラムから個人情報が漏洩したとのメールが。

ナチュラムを使ったのは、シマノスコーピオン Mg 1000を買った1回こっきりなのですが、見事に流出してしまったようです。

そこでナチュラムログインをして状況を確認しようと思ったところ、気になる点を見つけたのでいくつか記述します。


1.パスワード変更画面の不可解な点。

2.ナチュラムのシステムのソースコードプログラム)が外部に公開されている。

3.個人情報が漏洩したにもかかわらず、個人情報Cookieに保存している。


1.パスワード変更画面の不可解な点。

まず1つ目の『パスワード変更画面の不可解な点』なのですが、ナチュラムに最初にログインをすると、以下のようなパスワード変更の画面が出てきます。

パスワード変更画面

このパスワード変更画面なのですが、旧パスワードと新パスワードに同じパスワードを入れても登録できてしまいます。

ログインしたユーザーに、強制的にパスワードの変更をさせようとしているのに、新旧同じパスワードが登録できてしまったら意味が無いのではと思います。

ナチュラムさんのシステムが、このような仕様だというのなら仕方がありませんが。



2.ナチュラムのシステムのソースコードプログラム)が外部に公開されている。

上記パスワード画面の問題を発見して、ナチュラムのサイトが他にも何かありそうなので探してみたら、どうやらナチュラムで動いているシステムのソースコードプログラム)が外部に公開されているようです。

外部に公開されているのを発見したのは、私が不正アクセスとか法に触れる方法では無く、ごく普通にgoogleの検索で見つけました。

"site:http://www.naturum.co.jp" と とある単語のAND検索で以下のような画面が7件。

Google検索結果


■さらに気になる点がいくつかあるので、以下の画像を見てください。

Google検索結果2

赤丸拡張子html

実はこのURLで、拡張子の.htmlが.aspなっている部分のみが違う、サイトがナチュラムには存在します。

どうやら、本来はaspで保存しなければならないファイルをhtmlで保存しているようです。

そのため、本来では見えることの無いソースコードが表示されてしまっています。


青線のCookiesXXXXXXX("User_Name")

パッと見ですがCookieの中にユーザー名を保存しているような感じです。

もしCookieの中ユーザー名を保存している場合は、悪意のあるサイトやプログラムによって、情報を盗まれる可能があります。

(詳細は後ほど)

■今度はソースを見てみます。(Googleキャッシュ→ソースの表示で)

まず最初に、<SCRIPT LANGUAGE=VBScript RUNAT=Server>と有るので、このソースコードはVBScriptで記述されているようです。

VBScriptは使ったことが無いので、関数名や記述方法から判断、またはネットで調べた情報で解析していきます。

次ぎに、コメントの日付が"080709○○追加"、"080709○○ここまで"でくくられている関数があります。(○○は修正者の氏名と思われます)

この日付が本当なら2008年7月9日に修正したこととなり、ナチュラムの不正アクセスの経緯の『クレジットカード会社より、カード情報流出の可能性があるため、弊社へ調査の依頼があった。』の日付と一致します。

そのコメントでくくられている関数を見るとSQLインジェクション対応の処理となっています。

この修正を見ると今回の情報漏洩は、『メンテナンスサーバーへの進入』ではなく、やはり『SQLインジェクション』が問題だったのではないでしょうか?

その次に前に記述した、CookieへのユーザーIDの保存の件。

どうやらソースコードを見ると、ユーザーID以外にも、ユーザーの本名をCookieに保存しているようです。



3.個人情報が漏洩したにもかかわらず、個人情報Cookieに保存している。

そこで、本当にCookie個人情報が保存されているか検証してみます。

■まずは、氏名を『山田太郎』に変更します。

変更

■『山田太郎』に変更しました。

更新

ナチュラムで一度ログアウト後に、『山田太郎』に変更したアカウントログインをして見ます。

ログイン

■Temporary Internet Filesフォルダを開き、ナチュラムCookieを探します。

ナチュラムでは『Cookie:●●●●(Windowsのユーザアカウント)@naturum.co.jp』と『Cookie:●●●●(Windowsのユーザアカウント)@www.naturum.co.jp』の2つの

Cookieを使用しています。

そのうちの『Cookie:●●●●(Windowsのユーザアカウント)@www.naturum.co.jp』をエディターで開きます。

Cookie


■ユーザーネームとIDを探します。

User%5FNAME=%8ER%93c%91%BE%98Y&User%5FID=●●●●

赤い部分『%8ER%93c%91%BE%98Y』がURLエンコーディングのかかったユーザーネーム。

青い部分『●●●●』(伏てあります)がユーザーIDです。

■ユーザーネームをデコードします。

こちらのサイトを利用してURLエンコードされたユーザーネームをデコードします。

デコード

デコード前

デコード

デコード後

■結果

見事に『%8ER%93c%91%BE%98Y』が『山田太郎』に変換されました。

URLエンコードは文字列を別の文字コードに変換しているだけなので、暗号化されていない本名がCookieに保存されていることになります。

ブラウザによっては、任意のCookie情報を盗み見ることが出来る、セキュリティホールがあるらしいので、暗号化されていないユーザーIDや本名がCookieに保存されるのは非常に危険だと思います。

ASPにもセッション変数サーバー側でユーザーネームやIDなどの値を保持する方式)が有るようなので、セッション変数などを使用して、より安全なサイトにしてもらいたいです。



まとめ

ナチュラムのサイトを少し見ただけで、いくつか怪しい点が出てきました。

まだ、SSLデフォルトで設定されていないとか、突っ込みどころはたくさん有ります。色々探せばまだまだ出てきそうです。

情報漏洩が起こってしまったことは仕方がありませんが(仕方ないことも無いですが・・・)、この機会を切欠に、被害を受けたユーザーに誠意を持って対応し、今後もより良いシステム運営を行っていってもらいたいものです。

勢いで書き上げたので誤字脱字、私の認識違い、技術的な間違い等があれば指摘していただきたいと思います。


◆追記◆

2008/08/10 23:55

ホームページに関するお問い合わせから、3つの件について確認のメールをナチュラムに送ってみました。

2008/08/11 23:12

ナチュラムさんから返信メールが届きました。

内容は別エントリーにしました。

Connection: close