スロイスが勝手にオススメするエントリー

2008.08.11  ナチュラムさんからシステムに関するメールの返信が届きました

昨日のエントリー『まだまだ危ないぞ、ナチュラムの個人情報漏洩』に普段の倍以上のアクセスがありビックリしました。
どうやら某掲示板にここのURLが書かれていたようで(笑
結果としては、そのおかげで多くの人に見てもらうことが出来ました。

それと、『ナチュラム個人情報漏洩問題』なる、まとめサイトにも紹介していただきました。

2008/08/12 追記
華麗なるファミリーキャンプさんにも紹介していただきました。



さて、タイトルの件です。
昨日、私が発見した以下の問題
1.パスワード変更画面の不可解な点。
2.ナチュラムのシステムのソースコード(プログラム)が外部に公開されている。
3.個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している。
についてナチュラムさんにメールを送ったところ、返信が来ましたので紹介します。


まず、私がナチュラムさんに送信したメール本文です。
(※個人情報、セキュリティにかかわる部分は消してあります。)


ナチュラム システム担当者様
ナチュラム セキュリティ担当者様

いつもお世話になっております。ナチュラムを利用しているスロイス(実際には本名を記述)と申します。

システムとセキュリティに関しての報告と確認をしたいと思いメールをいたしました。

まず最初の件ですが、ナチュラムのソースコードがWeb上に公開されているようで、Googleの検索にも表示されてしまっています。(aspファイルの拡張子をhtmlにしてしまっている為?)
http://www.google.com/search?q=site:http://www.naturum.co.jp(以下URLのクエリー部分はセキュリティー的に略)
上記URLで表示される以外のサイトも公開されているソースコードがあるかも知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。


次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名とユーザーIDが暗号化せずに記録されています。情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、サーバーサイド側で対応したほうがよろしいのではないでしょうか?


最後になりますが、初回ログイン時パスワードの変更画面が表示されますが、旧パスワードと新パスワードが同じ物でも登録できてしまいます。パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が無いのではないでしょうか?

上記3点ですが、対応と確認をしていただければと思います。


メールの内容が言葉足らずで、分かりにくいかも知れません。
私がスロイスのハンドルネームで運営しているブログにも、図入りで詳細を記述したエントリーをアップしました。一度目を通していただけたらと思います。
http://suroisu.blog109.fc2.com/blog-entry-133.html

以上、いきなりのメールですが、ご確認いただけたらと思います。
今後もより良いナチュラムを運営されていくことを願っております。

よろしくお願いいたします。

スロイス(実際には本名を記述)


それに対してのナチュラムさんの返信の抜粋。
(※個人情報、セキュリティにかかわる部分は消してあります。)

> まず最初の件ですが、ナチュラムのソースコードがWeb上に公開されているようで、
> Googleの検索にも表示されてしまっています。
> aspファイルの拡張子をhtmlにしてしまっている為?)
> http://www.google.com/search?q=site:http://www.naturum.co.jp(以下URLのクエリー部分はセキュリティー的に略)
> 上記URLで表示される以外のサイトも公開されているソースコードがあるかも
> 知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。

こちらにつきましては該当のものを削除いたしました。
他の部分にもないか現在確認中です。




> 次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名と
> ユーザーIDが暗号化せずに記録されています。
> 情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、
> サーバーサイド側で対応したほうがよろしいのではないでしょうか?

こちらにつきましては、現在影響範囲を確認中でございますが、
必ず現状のものとは変更を加えることをお約束いたします。




> 最後になりますが、初回ログイン時パスワードの変更画面が表示されますが、
> 旧パスワードと新パスワード が同じ物でも登録できてしまいます。
> パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が
> 無いのではないでしょうか?

こちらにつきましてもご指摘ありがとうございます。
対応を完了いたしました。


今回の問題に関するところだけ抜粋しました。
なお、ここには載せませんでしたが、メール本文は非常に親切丁寧な文章で書かれていました。
運営側の対応があまり良くないような噂は掲示板やブログなどで色々と見ましたが、このメールを書いた方、および素早い対応を取られたシステムとセキュリティ担当の方々には非常に好印象を抱きました。
これからが大変でしょうが、頑張っていただきたいと思います。

ナチュラムさんのメールの最後に以下のような一文がありました。
こうした皆様の意見は一つ一つが大変貴重なものです。
全社員一同、誠心誠意対応にあたって今後の信頼回復に努めて参ります。

ナチュラムさんと利用者でより良いサイトを目指して行くことができればと思います。




そして、早速なのですが対応していただいた『1.パスワード変更画面の不可解な点。』を試してみました。

■パスワード変更画面で、新パスワードに旧パスワードと同じものを入力して『パスワードを変更する」ボタンを押下してみます。
パスワード変更

■エラー画面が表示されました。
パスワード変更

ナチュラムさん、早速対応していただきありがとうございます。



それにしても眠かったとはいえ、私がナチュラムさんに送信したメールの日本語が酷い・・・(笑

2008.08.11 | ナチュラム個人情報漏洩問題 | Comments(2) | Trackback(0)

コメント

さすがその筋のスロイスさんだけありますねぇ。
でもスロイスさんの指摘された件って、そうは言えども基本的なことなんですよねぇ。運営を開始する際に検証されなかったんでしょうかね。

2008-08-11 月 23:30:24 | URL | 会長 #- [ 編集]

私も一応ウェブに係わった仕事をしているので、何か問題のありそうなところは、つい探ってしまいます(笑
逆を言えば、私が犯しやすいミスのところを探ってみたともいえますが・・・。

今回指摘した件は、誰でも探すことが出来ることなので、早かれ遅かれ誰かに見つけられていたでしょう。

普通は運用前に複数の工程で検証を行うと思います。
運用前に検証をしていないのなら問題ですし、検証をしていても見つけることが出来なかったのならそれも大問題ですね。

2008-08-12 火 21:15:18 | URL | スロイス #- [ 編集]

コメントの投稿


秘密にする

«前のページ  | HOME |  »次のページ

 


FC2Ad

まとめ

SUROISUのTwitter

プロフィール

スロイス

Author:スロイス
さいたま周辺の荒川・入間川・びん沼・新河岸川放水路とかに自転車でブラックバスを釣りに出没中。
たまに登山とか、冬はスノボーとか。

より詳細なプロフィールはこちらから。
スロイスのプロフィール

月別アーカイブ

カウンター

ブログ内検索