パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱マテリアルがファイル丸出しで顧客情報漏洩」記事へのコメント

  • by Anonymous Coward
    今回の丸出し箇所で使われていたショッピングカート用のCGIアプリケーションは、これだったと指摘されています。

    ウェブ・ストアー [スタンダード・エディション] [webpower.jp]

    ダウンロードしてマニュアル(ReadMe/install.html)を読んでみると、こう書かれていて、セキュリティのリスクは説明されていません。

      private_html/ (WWWから直接参照できないディレクトリ)
        (可能な場合は"data"ディレクトリはここに設置。CGIの初期設定も変更要)
        data/
      public_html/ (サーバーによって名前は異なる)
        cargo/ (任意のディレクトリ)
          dat
    • .htaccessで制御するつもりだったとか。
      • > .htaccessで制御するつもりだったとか。

        「(.htaccessが使えるサーバーではアップロードする) 」
        ってくらいだから、そのつもりはないのでしょう。
        • > data/ [ 777] (ディレクトリ名はランダムな文字列に変更する。

          とありますから、ディレクトリ参照ができないのが前提で、ランダムな文字列によって保護しよう、という発想で、.htaccess が使えればそれも併用する、と。
          ディレクトリ参照がで
          • > ということなのでは??

            そんなもんユーザに理解できるわけがない。

            「変更した場合はCGIの初期設定も変更要」と書いてあって、
            変更せずに初期設定のまま使ってもよいかのように書かれている。
            • by Anonymous Coward on 2004年05月08日 11時53分 (#542957)
              >> ということなのでは??
              >
              >そんなもんユーザに理解できるわけがない。

              別にユーザが悪いなんて書かれていないですが・・。
              ドキュメントが悪い、作りが悪い、といえば、確かにそうでしょう。
              でも、セキュリティに配慮せず(できず)に設置しているほうもどうかという気がします(エンドユーザーじゃあるまいし)。外部のその手の業者に設置させたのなら、その業者のプロフェッショナルとしてのスキルを疑いますし、外注せずに内部で設置したのなら、内部でやるのに十分な人材がいるか、内部でやるとどんなリスクがあるかを判断した人の問題もあるのでは?
              餅は餅屋であるべきだと思うのですが、未熟な餅屋の餅や、素人のついた餅が出回っている(素人に餅をつかせている)ことが問題なんではないでしょうかね。IT業界というかネット業界というかに限らず、ウチでも同じで内部でやるんだといって何度も素人餅をつかまされてる(幸い外には出してないけど、日程遅延による機会損失と無駄遣いをしてる)んですが。
              親コメント

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...