パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱マテリアルがファイル丸出しで顧客情報漏洩」記事へのコメント

  • by Anonymous Coward
    今回の丸出し箇所で使われていたショッピングカート用のCGIアプリケーションは、これだったと指摘されています。

    ウェブ・ストアー [スタンダード・エディション] [webpower.jp]

    ダウンロードしてマニュアル(ReadMe/install.html)を読んでみると、こう書かれていて、セキュリティのリスクは説明されていません。

      private_html/ (WWWから直接参照できないディレクトリ)
        (可能な場合は"data"ディレクトリはここに設置。CGIの初期設定も変更要)
        data/
      public_html/ (サーバーによって名前は異なる)
        cargo/ (任意のディレクトリ)
          dat
    • .htaccessで制御するつもりだったとか。
      • > .htaccessで制御するつもりだったとか。

        「(.htaccessが使えるサーバーではアップロードする) 」
        ってくらいだから、そのつもりはないのでしょう。
        • > data/ [ 777] (ディレクトリ名はランダムな文字列に変更する。

          とありますから、ディレクトリ参照ができないのが前提で、ランダムな文字列によって保護しよう、という発想で、.htaccess が使えればそれも併用する、と。
          ディレクトリ参照がで
          • by Anonymous Coward on 2004年05月08日 13時29分 (#542997)
            >ディレクトリ参照ができないのが前提で、ランダムな文字列によって保護しよう、
            >という発想でhtaccess が使えればそれも併用する、と。

            人間の手動ディレクトリ参照を抑制するには有功だろうけど、スパイダーには
            無力なんじゃないかなぁ。

            そして、自分の名前をgoogleで検索すると、顧客リスト見つかってビックリすると…。
            親コメント

身近な人の偉大さは半減する -- あるアレゲ人

処理中...