パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱マテリアルがファイル丸出しで顧客情報漏洩」記事へのコメント

  • 対応が遅いな・・ (スコア:4, おもしろおかしい)

    dat落ちしたのを●で読んでみると、おそらく一番初めの書き込みが
    05/03 22:45。
    三菱マテリアル記事 [mmc.co.jp]によると
    5/6朝の8時に某チャットの書き込みでやっと気づいてますね。

    朝から何してらしたんでしょうか
    • by Anonymous Coward
      チャットやBBSやMLを監視して通報するサービスがあるらしいですよ。
      先日もこんなふうにデータもCGIもいっしょくたにインストールする奴が居てサー。 /cgi-bin/ に入れてくれよって言っても「出来ません」とか答えるんだよ。 おまえらの「出来ません」「わかりません」でどんどん世の中が悪くなる。 死ね。
      • by Anonymous Coward on 2004年05月07日 16時15分 (#542604)
        よく分からないんだけど、データはdocumentroot以下じゃない所に
        置いといて、cgiからパスを指定して呼び出すだけのことでそ?

        そんな単純な話じゃない?
        親コメント
        • by ruto (17678) on 2004年05月07日 16時24分 (#542607) 日記
          あとCGIアプリケーションにデータのパスがハードコードされてたりしてめんどいときは.htaccess使うのも一つの手ですねぇ。
          親コメント
          • 教えて君モード

            データファイルを".cgi"として作成するだけでは何か穴あるでしょうか?
            #うちのサイトの掲示板の記事ファイルがそうなんですけど…
            --
            ん? 俺、今何か言った?
            親コメント
            • by Elbereth (17793) on 2004年05月07日 19時08分 (#542694)
              >データファイルを".cgi"として作成するだけでは何か穴あるでしょうか?

              サーバーのOSとファイルの置き場所とパーミッションによっては、
              今回の話題の三菱マテリアルと同じように中身ばっちり丸見えと
              いうこともあります。
              掲示板のスクリプトの内容次第では、ACCSとOffice氏の事件の時の
              ように、ちょっとヒネったやり方で見えることもあります。

              つまり、その行為は全然安全にはつながる行為ではないと
              いうことです。
              親コメント
              • つまり、その行為は全然安全にはつながる行為ではないということです。

                ありがとうございます。
                データファイルを抜く具体的な方法というのが知りたいですが、自分で調べてみます。まぁ、危険ということがわかっただけでも、今後の自分のサイトのCGIへの意識が高まりました。
                --
                ん? 俺、今何か言った?
                親コメント
            • by wtnabe (16084) on 2004年05月07日 21時27分 (#542736) 日記
              掲示板の記事だけしか書かれてないなら、別に丸見えでもいいような。
              親コメント
              • 重要な情報は書かれてないんでしょうけど、発言に対してIP抜いて晒すという粘着質な人がいろんな掲示板を見ていると少なからずいるようで。

                でもホントいうと、近くサイトのリニューアル考えていて、CGIも作り直そうかなぁって思ってたんで興味本位で聞いてみただけです。homepage@Niftyなのでどうしようもないんですけど。
                --
                ん? 俺、今何か言った?
                親コメント
            • 拡張子.cgiで対処したつもりの企業が
              Apache の入れ換えで設定がデフォの「ExecCGIがoff」に戻って死亡
              というケース(以下略
              親コメント
          • 平文パスワードなんて設定してないのと同じなわけだが。
            • by ruto (17678) on 2004年05月07日 16時57分 (#542623) 日記
              .htaccessでパスワードを設定するのではなく

              <Files "data.dat">
              deny from all
              </Files>

              のようにしてアクセスそのものを拒否するということです。
              もちろんhttpd.confが編集できるならそれでもよいのですが。
              親コメント
              • by Anonymous Coward on 2004年05月07日 17時43分 (#542651)
                .htaccess で対処したつもりの企業が
                Apache の入れ換えで設定がデフォの AllowOveride none に戻って死亡
                というケースは良く見掛けるんだよな。
                親コメント
              • それすらも出来ない事があるので
                データのファイル名を .hthoge にしてしまうとか
              • そもそも、そんな所に置くなって事なんですけどねぇ。
                なんで、そんな制御入れてまでそんな所に置こうと思うのかが謎です。
              • by tada (5086) on 2004年05月07日 19時15分 (#542698)
                >なんで、そんな制御入れてまでそんな所に置こうと思うのかが謎です。

                開発時に何も考えずに公開部分にデータを置いた。
                後から問題に気づいたが、置き場所を変えるには
                全てのプログラムファイルを変更、テストしなければならない構造になっている。
                親コメント
              • 「そんな所」以外の場所に置ける権限が、設置者に無い場合とか。

                。。。いや、今回のケースがそういう状況だったかどうかは知らんのですが (^_^;

                # そもそもそんなホスティングサービスを個人情報扱うサーバーに使うなと言うお話?

                --
                むらちより/あい/をこめて。
                親コメント
              • # そもそもそんなホスティングサービスを個人情報扱うサーバーに使うなと言うお話?
                当然でしょう。

                そういうホスティングサービスの一覧表を誰か作りませんかね。日経BPとか比較票を作って報道してくれないかな。

        • by NOBAX (21937) on 2004年05月08日 8時53分 (#542862)
          それをやるとパスの指定が面倒、他の環境でテストするとき
          フォルダーを作らないといけない、だということで、
          CGIもデータも同じフォルダーに入れて、個別に
          アクセス権を設定しているところが多いんじゃないの。
          それで、ローカルから転送した後アクセス権の変更し忘れ。
          親コメント
        • "Options -Indexes" の指定し忘れとかいう初歩的単純ミスかなーとか。

          #あてずっぽうなのでAC
          • Re:対応が遅いな・・ (スコア:1, すばらしい洞察)

            by Anonymous Coward on 2004年05月07日 16時40分 (#542613)
            Options -Indexes で何か対策した気になる事自体が初歩的ミス。
            親コメント
            • じゃー簡単に丸出しにする対策(笑)を一つ教えてください。
              • もっとましな会社に外注する。
                三マテ社員が自分でやってる訳ではないんでは(あてずっぽう)??
                つーかこんな学生バイトでもしねぇミス今時かます会社がのこってるってことは、その手の業界の正常な淘汰がまだ完了してないんでしょうね。
              • #542605のACです。

                申し訳ない、#542613の意味を取り違えていた&その後のコメントの書き方も悪かったです。

                丸出し状態にするには"Options -Indexes"を指定しないだけでは甘い、
                もう一工夫必要なんだということだったんですね。

                全開丸出しにするためには設定の他にも発注先を選ぶことが必要という意味なのですね。

                精進します。
              • by Anonymous Coward on 2004年05月07日 22時26分 (#542761)

                仕事でサーバをちょこちょこ発注しています(自分でも作れるけど会社の方針で外注)。

                いわゆる大手メーカーのSI屋に発注するのですが、 設定が緩いよ。
                こっちも機能に関する要求はきめ細かく書くし、 ちゃんとチェックするけど、セキュリティ周りや準正常系の 動作って要求しにくいんですよね。そのせいかSI屋も めっちゃ適当に作るし、こっちもちゃんと評価やチェックできる 人材が少ない。もちろん上司なんかは、そういう周りの細かいのを 知っているはずもない。

                正直、SI屋もデフォルトの設定より変更するのをいやがるし、知らない。solarisなんて沢山変更が必要だし(変更すれば幾らでもセキュアに出来るのがsolarisの良いところ)、各種デーモンのchrootとか必要だよね。FWなどパケットフィルタなんか全てのサーバに入れると思うのだけど、上位のL3SW or LBの一点入れただけで何で良いとするかなぁ。こっちの運用方針を聞き取りもしないでよく決めるよな。

                2004年にもなって新規作成のサイトでXSS対策すると工数がかかるとか言う所はどうにかなりませんかね。そこの会社はお金によってはXSSを考慮しないサイトを今でも構築しているんですかね。

                そういうSI屋が納品するサーバをチェックする要員がいなそうな公共団体。そういうところにもシステムを収めているかと思うと恐いです。

                正直、この業界は急成長しすぎちゃっていますね。分かる人材が貴重過ぎるし、そういう人材を正当に評価できていない。

                自分も資料作って周りの人に迫ることをあまりしていないので、それについては反省しつつ、改善することが今年度の目標です。
                三菱マテリアルのような、恥ずかしいことが減りますように、がんばりましょう。

                親コメント
              • > つーかこんな学生バイトでもしねぇミス今時かます会社がのこって
                > るってことは、その手の業界の正常な淘汰がまだ完了してないん
                > でしょうね。
                そだね、淘汰されてない。みかかだたとか目立軟件とか観音軟件とか、とか、とか

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...