ナチュラムさんからシステムに関するメールの返信が届きました(suroisuの日記版)
さて、タイトルの件です。
昨日、私が発見した以下の問題
1.パスワード変更画面の不可解な点。
2.ナチュラムのシステムのソースコード(プログラム)が外部に公開されている。
3.個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している。
についてナチュラムさんにメールを送ったところ、返信が来ましたので紹介します。
まず、私がナチュラムさんに送信したメール本文です。
(※個人情報、セキュリティにかかわる部分は消してあります。)
ナチュラム システム担当者様 ナチュラム セキュリティ担当者様 いつもお世話になっております。ナチュラムを利用しているスロイス(実際には本名を記述)と申します。 システムとセキュリティに関しての報告と確認をしたいと思いメールをいたしました。 まず最初の件ですが、ナチュラムのソースコードがWeb上に公開されているようで、Googleの検索にも表示されてしまっています。(aspファイルの拡張子をhtmlにしてしまっている為?) 次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名とユーザーIDが暗号化せずに記録されています。情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、サーバーサイド側で対応したほうがよろしいのではないでしょうか? 最後になりますが、初回ログイン時パスワードの変更画面が表示されますが、旧パスワードと新パスワードが同じ物でも登録できてしまいます。パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が無いのではないでしょうか? 上記3点ですが、対応と確認をしていただければと思います。 メールの内容が言葉足らずで、分かりにくいかも知れません。 以上、いきなりのメールですが、ご確認いただけたらと思います。 よろしくお願いいたします。 スロイス(実際には本名を記述) |
それに対してのナチュラムさんの返信の抜粋。
(※個人情報、セキュリティにかかわる部分は消してあります。)
> まず最初の件ですが、ナチュラムのソースコードがWeb上に公開されているようで、 > Googleの検索にも表示されてしまっています。 > aspファイルの拡張子をhtmlにしてしまっている為?)
|
なお、ここには載せませんでしたが、メール本文は非常に親切丁寧な文章で書かれていました。
運営側の対応があまり良くないような噂は掲示板やブログなどで色々と見ましたが、このメールを書いた方、および素早い対応を取られたシステムとセキュリティ担当の方々には非常に好印象を抱きました。
これからが大変でしょうが、頑張っていただきたいと思います。
ナチュラムさんのメールの最後に以下のような一文がありました。
こうした皆様の意見は一つ一つが大変貴重なものです。 全社員一同、誠心誠意対応にあたって今後の信頼回復に努めて参ります。 |
そして、早速なのですが対応していただいた『1.パスワード変更画面の不可解な点。』を試してみました。
■パスワード変更画面で、新パスワードに旧パスワードと同じものを入力して『パスワードを変更する」ボタンを押下してみます。
ナチュラムさん、早速対応していただきありがとうございます。
それにしても眠かったとはいえ、私がナチュラムさんに送信したメールの日本語が酷い・・・(笑
[ http://www.google.com/search?q=site:http://www.naturum.co.jp(以下URLのクエリー部分はセキュリティー的に略)