Anonymous Toward 曰く、
INTERNET Watchの記事が伝えているように、4月2日、ゲームや同人誌などを販売するメッセサンオーの顧客情報が、Googleの検索結果としてキャッシュにコピーされ、誰でも閲覧できる状態になっていたことが発覚した。現在はキャッシュが見えないよう対策されているが、m-birdの日記などによると、使われていたショッピングカートの管理画面が、URLにパスワードを含む仕様になっていたのが原因らしい。INTERNET Watchの記事は「追記」として、これがWEBインベンターが提供するCGIスクリプトだとし、開発元が対策を呼びかけていると伝えている。
しかし、その対策元の呼びかけは、「管理プログラムがGoogleにインデックスされないようにする」というもので、
- 「パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください」という注意喚起
- metaタグ(noindex,nofollow,noarchive)の挿入とUser-Agentによるクローラの排除を導入した最新バージョンへのアップデートの呼びかけ
- 「検索エンジンにインデックスされてしまったときの対処」
の3点であり、そんなのでは対策にならないという指摘がはてなブックマークで大量にコメントされている。開発元は、従前から「ショッピングカートCGI設置方法(Q&A)」の「管理画面の呼び出し方法」として次の注意書きをしており、問題がいずれ起き得ることは認識していたことがうかがわれる。
管理画面を呼び出し、パスワードを入力すると、パスワードがアドレスバーに表示される場合があります。これはパスワードをCGIで受け渡ししているためです。それを表示したくないときはフレームを使うことをお勧めいたします。
その後、開発元からの呼びかけに、「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」という追記がなされたが、はたしていったいどんな改良版が登場するのだろうか。