2010-04-02
メッセサンオーの流出理由など
ネット | |
- システムがザル
- 設定がザル
- 運用でミス
- Google ChromeまたはGoogleツールバーにより、URLがGoogleに流出*1→クロールされた?(憶測)
通常は、管理システムのURLが知られたとしても、
ので問題ありません。システムの設計と、その設置方法がまずかったのが今回の騒動の原因と言えるでしょう。
以下、システム開発元の対応などについて。
開発元
http://wb-i.net/advice.htm#adm
管理画面を呼び出し、パスワードを入力すると、パスワードがアドレスバーに表示される場合があります。これはパスワードをCGIで受け渡ししているためです。それを表示したくないときはフレームを使うことをお勧めいたします。つまり、以下のようなadmin.htmlを準備します。
http://mag.wb-i.net/2010_04_02.html
さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施しましたので、お知らせいたします。
いや、拾われなきゃいいって問題じゃ……URLが知れたら誰でも管理画面に行けてしまうこと自体が問題でしょう……?
で、対策内容にも絶句。
すでに最新のプログラムでは、検索エンジンにインデックされないように対策を施してあります。
管理プログラムに下記の対策がなされています。
1.metaタグの挿入(noindex,nofollow,noarchive)
2.USER_AGENTよるSpiderの排除
……metaタグ入れても、拾っていく検索エンジンはあるし……対処療法にもなってないよ……。
で、このシステムの値段お幾らかなー、と調べてみたところ、どうやら7000円〜1万5000円らしいですね。こういう個人情報を預かるシステムは、もうちょっと金掛けたちゃんとしたものを使ってほしいですね。
- 135 http://twitter.com/
- 102 http://b.hatena.ne.jp/entrylist
- 64 http://www.google.co.jp/search?q=メッセサンオー&hl=ja&rls=com.microsoft:ja:IE-ContextMenu&rlz=1I7ADBF_ja&tbs=rltm:1&tbo=u&ei=6Iy1S4raOMuHkAWTpNinDQ&sa=X&oi=realtime_result_group_more_results_link&ct=title&r
- 62 http://b.hatena.ne.jp/hotentry
- 47 http://search.yahoo.co.jp/search?p=メッセサンオー&sp=1&ei=UTF-8&fr=slv1-divx&SpellState=n-2520016227_q-vkXFIrjD9ibn7A6ZvuX5YAAAAA@@
- 44 http://www.google.co.jp/trends/hottrends?q=メッセサンオー&date=2010-4-2&sa=X
- 43 http://b.hatena.ne.jp/
- 42 http://www.google.co.jp/search?hl=ja&q=メッセサンオー 流出&sourceid=navclient-ff&rlz=1B3GGGL_ja___JP343&ie=UTF-8
- 40 http://b.hatena.ne.jp/entry/d.hatena.ne.jp/m-bird/20100402/1270190863
- 40 http://www.google.co.jp/search?hl=ja&source=hp&q=メッセサンオー&btnG=Google+検索&lr=