メッセサンオーの個人情報流出事件について

メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性 – Windows 2000 Blog http://blog.livedoor.jp/blackwingcat/archives/1128067.html

| ^^ |秒刊SUNDAY|アダルトゲーム通販ショップから赤裸々な個人情報がダダ漏れ事件が発生中 http://www.yukawanet.com/archives/2542714.html

メッセサンオー、PCゲーム通販の顧客情報がネットで流出 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20100402_358712.html

秒刊SUNDAYを見てメッセサンオーの個人情報流出事件については知っていましたが、またかーってな感じで記事自体は読んでなかったのですが、黒翼猫氏のブログをみて興味が出たのでちょっと書いておきます。

僕も昔作ったCGI放置しててXSSの脆弱性でJPCERTから警告食らったことがあるのであまり大きな事は言えないのですが、ちょっとこの個人情報流出のショッピングカートの作りがあまりにひどかったのでw。

黒翼猫氏のブログを読んでみると、メッセサンオーが使っていたショッピングカートの開発元を見ると

管理画面を呼び出しパスワードを入力するとURLにパスワードがアドレスバーに表示されることが有ります。

みたいな事になってるみたいなんですねw。

で、パスワード毎グーグルさんにパスワードごとクロール>流出発生

ということらしいです。

で、対処が、メタタグでnoindex入れるということらしいんだけど、既に流出されているものが解決されるわけではないので根本的な解決になってないのがなんとも。セッションで管理するように作りなおさないとダメだと思うんだけどw。

このことから思い出したのは、一時期WEBメールからのアクセスのリファラがアクセス解析に残ってそこから他人のウェブメールにアクセスできてしまう的な問題が一時期流行ったことがあると思います。

そういうわけで現在ではセッション管理になっていると思います。

いつ頃作られたショッピングカートなのか知らないですが、たぶんずいぶん昔に作ったものなのだろうなーと思いました。(しらべてないけど)

大昔には割とURLにパスワードが出るようなものがあったと思う。今じゃちょっと考えられないですけど、昔は色んな意味でおおらかでしたね。たぶん悪い人は裏でやりたい放題だったと思われますw。

このショッピングカートが携帯電話と共用なのかどうか知りませんが、確かに携帯電話対応は昔は悩ましかったです。昔でも普通に気がきいているプログラムだとCookieでパスワードなどのデータの受け渡しを行っていたので、普通はURLにパスワードが現れることなどなくCookieの制御も分からないよっぽど素人に毛が生えたような人じゃないとそういうプログラムは書かないのですが、携帯電話はCookieが使えなかったので(使えるキャリアと使えないキャリアがあった。)パスワードの受け渡しとか困るんですよね。

だから気持ちはわかるんだけど、やっぱりパスワードが見えてしまうようなプログラムを書いてしまうのはいただけないですね。

全てをPOSTで処理するという方法も有りますが、リンクが一切使えなくなるというのはデザイン的にも制限がでるのと、POSTにしてもソース内にはパスワードが生で埋め込まれているので、ユーザーによってはそれでも不安になってクレームを上げてくるのが普通なんですが、問題のショッピングカートは誰も文句いわなかったんでしょうか?

僕が2002年くらいに作った携帯電話用対応の日記プログラムでも、セッション管理的な処理を作ってパスワードは、ソース内にも一切出てこないようにかなり気を使って作ったりしたのですが、お金のやりとりが発生するショッピングカートでこれはひどすぐるw。

 

最近の携帯電話の仕様がどうなってるのか詳しくはしらないのですが、昔よりずいぶん楽になっていると思われる。なんといってもツーカーがなくなったのは大きい。HDMLとかあんなワケの分からないコード書かなくてよくなったんだから楽だよね。普通にHTML一本でかけるようになったのは楽だよね。昔だとわざわざツーカー用に専用の処理をまるまる書かないといけなかったので作業が数倍になってとても苦痛でした。

それに、キャリアごとに使える画像フォーマットが違ったので、このキャリア用にはGIFこのキャリア用にはPNGとわざわざキャリアごとに別フォーマットで画像を保存してたりしてたのが今だと何でも表示できるでしょ?

今だと動画がキャリアごとに仕様が異なるので大変だと思うけど、ライブラリがそれなりにあるのでそこまで大変でもないかもしれない。

とにかく携帯電話ガラミで面倒なのは絵文字の処理だよね。

タグ :