 |
〜きまぐれ ぷろぐらま語録〜 |
| ← | 2024年11月 | → | |||||
| 日 | 月 | 火 | 水 | 木 | 金 | 土 | |
| 1 | 2 | ||||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 | |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 | |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 | |
| 24 |
|
26 | 27 | 28 | 29 | 30 | |
| 最近の記事 |
| Blog移転
|
| 広告欄 |
| Blogを移転させました。 新Blogは次のURLです。 →https://kerokero.org/wp/ |
| メッセサンオーの個人情報流出。いろんな意味でやばいね。 |
| 先日こんなニュースが駆け巡りました。 メッセサンオー、PCゲーム通販の顧客情報がネットで流出(InpressWatch) ゲーム、特に成人向けゲームなどを販売する大手ショップ、 メッセサンオーの通信販売管理画面が、 誰でもアクセスできる状態になっていたとのこと。 ※googleに特定のキーワードで検索すると、googleキャッシュで閲覧できる。 つまり、「中身が分からないように梱包してください!!」みたいに、 必死で隠して購入した人たちの 氏名、住所、電話番号、購入製品が赤裸々に公開されていた。 というのが、ことのあらまし。 さすがに、今の時代に、こんな大規模流出があると言うことは、 何か、新しいセキュリティの問題が発見されたのかと、 興味津々だったのですが・・・ ・・・ふたを開けてみたら、化石のような問題でした。 つまり、十数年前、インターネットも普及しておらず、 セキュリティーについての研究もあまりされていない時代と、 同等のセキュリティーしか持ってない通販システムを使っていたらしい。 いやぁ〜驚いた。 しかも、そのシステムはメッセサンオー自身が開発したのではなく、 専門業者からシステムを購入して運用していたそうで。 さらに、その業者は今でもそのシステムを販売していて、 さらにさらに、導入事例を自社サイトで一覧表示していたという。 ※当然、導入事例の各社も個人情報流出が発覚している。 これだけでも、おなかいっぱいですが、 さらに、その先でも問題があって、 このような問題が生じた場合は会社の信用問題になるので、 いつにも増して、正しい対処をする必要がある。 が、その通販システムを開発した会社のプレスリリースでは、 やはり、化石に近い、目を疑いたくなるような、 意味のない対策をすると書いてあった。 案の定、「節子! それセキュリティ対策やない」とか、揶揄されていましたし。 まともなWebエンジニアであれば、 それが対策にならないことは明白で、 開発会社の技術力が無いと自ら言っているに等しいプレスリリースが 公開して、大丈夫なの?と本気で気になりました。 最初は技術的見地から興味があったけど、 今は、別の意味で、興味津々で今後の動向が気になります。 いまは、対岸の火事ですが、 セキュリティーの考え方は常に変化しています。 確かに、それを追うのは非常に大変なことではありますが、 自分も気をつけねば。 ちなみに、今日時点で公表されている通販システムの修正方針(*)も、 今のセキュリティーの考え方から考えれば、やっぱりオカシイ。 (*)パスワードをGETではなく平文Cookieでやりとりする対応 とりあえず、該当する通販システムを運用している人は、 (まともな)対策プログラムが用意されるまで、 即刻、サーバーから通販システム一式をローカルコピーした上で削除。 または、サーバーの設定で非公開にした方が良いでしょう。 通販システムを、どうしても止めたくないならば、 管理画面すべてにBASIC認証をかけるだけでも、 だいぶセキュリティーレベルは違ってくると思います。 |
■コメント
■コメントを書く
※コメントの受け付けは終了しました| 最新のつぶやき |
| サイト内検索 |
カスタム検索
|
| 旅行関係の記事等 |
|
九州・広島旅行記 2009(かみちゅ!) 大阪出張(KANON) 大阪出張(ハルヒ) 三宅島旅行記'05 三宅島旅行記'08 三宅島旅行記'10 伊豆半島小旅行 |
| 最近のコメント |
| 最近のトラックバック |
| IPv4枯渇時計 |
| 携帯で読む |
| URLを携帯に送る |
![[Valid RSS]](/blog/valid-rss.png "Validate my RSS feed")