いつもお世話になっております。ナチュラムを利用しているスロイス（実際には本名を記述）と申します。

システムとセキュリティに関しての報告と確認をしたいと思いメールをいたしました。

まず最初の件ですが、ナチュラムのソースコードがWeb上に公開されているようで、Googleの検索にも表示されてしまっています。(aspファイルの拡張子をhtmlにしてしまっている為？）
http://www.google.com/search?q=site:http://www.naturum.co.jp（以下URLのクエリー部分はセキュリティー的に略）
上記URLで表示される以外のサイトも公開されているソースコードがあるかも知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。

次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名とユーザーIDが暗号化せずに記録されています。情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、サーバーサイド側で対応したほうがよろしいのではないでしょうか？

最後になりますが、初回ログイン時パスワードの変更画面が表示されますが、旧パスワードと新パスワードが同じ物でも登録できてしまいます。パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が無いのではないでしょうか？

上記3点ですが、対応と確認をしていただければと思います。

メールの内容が言葉足らずで、分かりにくいかも知れません。
私がスロイスのハンドルネームで運営しているブログにも、図入りで詳細を記述したエントリーをアップしました。一度目を通していただけたらと思います。
http://suroisu.blog109.fc2.com/blog-entry-133.html

以上、いきなりのメールですが、ご確認いただけたらと思います。
今後もより良いナチュラムを運営されていくことを願っております。

よろしくお願いいたします。

スロイス（実際には本名を記述）

> 上記URLで表示される以外のサイトも公開されているソースコードがあるかも
> 知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。

こちらにつきましては該当のものを削除いたしました。
他の部分にもないか現在確認中です。

> 次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名と
> ユーザーIDが暗号化せずに記録されています。
> 情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、
> サーバーサイド側で対応したほうがよろしいのではないでしょうか？

こちらにつきましては、現在影響範囲を確認中でございますが、
必ず現状のものとは変更を加えることをお約束いたします。

> 最後になりますが、初回ログイン時パスワードの変更画面が表示されますが、
> 旧パスワードと新パスワード が同じ物でも登録できてしまいます。
> パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が
> 無いのではないでしょうか？

こちらにつきましてもご指摘ありがとうございます。
対応を完了いたしました。