【ネット】メッセサンオーのスクリプトを開発した会社が「採用サイト」を隠し始める!
>>365 おまえからはインベーダーの臭いがするよ
367 :
名無しさん@十周年:2010/04/09(金) 02:10:33 ID:UZdmwFH90
くんくん!
インベーダーの自社サイト、home page builderで作成したページがあるんだよね。
まあ、home page builderが悪いわけじゃないけど、まあ、不安になりますわな。
年齢的に45〜55歳ぐらいで、PHPとか、フレームワークとか知らない古い世代の
人なんだろうな。その年代のひとって、セキュリティの概念て、
パスワードとか、LINNUXのパーミッションとか、その程度しか無いんだよね。
googleとか無い時代に育ったんで。 もう、仕事やめて、隠居したほうが良いよ、たぶん。
>>368 勝手に世代の違いにされてはかなわん。
単にヤツが不勉強な愚か者なだけだろうが。
>>369 あ、ごめん、
言いたかったのは、そのくらいの時代の知識で独立して、勉強しないでコーディングばっかりしてる人って
意味で書きたかったんだ。謝る。
371 :
名無しさん@十周年:2010/04/09(金) 06:44:10 ID:5dhRcTXo0
>>362 > それについては
>>331のページに「1←←必要」というわからん人にとっては謎の記述が。
おお、そんなところに書いてあったのか!
・・・・ってそんなところに書かずに元ソースに書いとけって気がするがw
でも、「1;」を書く場所あれじゃ分からんだろ・・・・。
> そう書けと言っていないんだから、突っ込む所どころか
> 脆弱性そのものだと思うんだが……
サンプルでも普通に
> #複数登録するときは、カンマで区切って追加。
> $login_check_ip ='220.122.95.169,200.142.97.169';
とか書いてるしなぁ。
372 :
名無しさん@十周年:2010/04/09(金) 07:01:25 ID:rYfUdTNi0
セキュリティに詳しくない俺にB型H系でうまく例えて
>>372 絶対に入れちゃダメ。
と言いながら、濡れマンフルオープン状態。
M字開脚で、ベッドに寝そべって、お前の
角度に合わせて受け入れ態勢万全。B。
でも、入れちゃダメ。
相手が入れちゃダメって言ってる以上、
いくら受け入れ態勢万全であっても、不正
挿入になるから注意。B。
374 :
名無しさん@十周年:2010/04/09(金) 07:21:54 ID:cMABb0e30
>メッセサンオーのスクリプトは2004年の物
2004年でも、GETで平文パスワードはあり得ない話だったが…
375 :
名無しさん@十周年:2010/04/09(金) 07:34:20 ID:EvMYKlce0
>>374 その時代より前のDNAをもった化石が、今回大量に発掘されただけです。
376 :
名無しさん@十周年:2010/04/09(金) 07:46:03 ID:fZzgX3VYO
で結局、Google先生にURL教えたのは誰なんだろね。
やっぱりchromeかツールバーなんだろかね。またはGoogleブックマークかgmailか。
Yahoo!もbingもURL拾ってない以上、グローバルな領域に曝されてたわけでは無さそうだし。
377 :
名無しさん@十周年:2010/04/09(金) 07:51:43 ID:/c4UzTmY0
これこそ魚拓とったんだろうな
ひさびさにノーガード戦法の極地を見た
あえて、じゃなく、せいいっぱいってところがまたかわいい
379 :
名無しさん@十周年:2010/04/09(金) 10:16:36 ID:slui0Ilr0
問い合わせを受けた時に自社のシステム上で顧客を捜すよりGoogle先生に
聞いた方が早いという斜め上の運用だったんじゃないだろうか
>パスワード付きのURLを一時的にもホームページで公開しないようにしてください
公開する理由あるのか?
>>380 この警告が書かれたのは、
2chで、グループウェアか何かにURLを登録して公開してたんじゃないか? とか
書いてる人がいた頃なので、それを意識して書いたんだと思うよ。
wb-i.netは、2chはチェックしているらしい。
382 :
名無しさん@十周年:2010/04/09(金) 10:40:10 ID:EvMYKlce0
>>380 というか、パスワードをURLに付けないで下さい
と、一斉につっこまれている訳だがねw
383 :
名無しさん@十周年:2010/04/09(金) 12:29:12 ID:+qtWusEk0
これどこのIP?
220.122.95.169,200.142.97.169
384 :
名無しさん@十周年:2010/04/09(金) 12:34:21 ID:N/ZWuzIR0
>>1 糞タレIT企業は公害。
ついでにメッセ顧客情報流失にキレて、2chで糾弾コピペ荒らしをして大規模規制の自体を招いた
一部のエロゲーマニアも糞タレ。
386 :
名無しさん@十周年:2010/04/09(金) 12:53:51 ID:+qtWusEk0
開発者はブラジルと韓国で作業しているのだろうか。。。
387 :
名無しさん@十周年:2010/04/09(金) 12:57:43 ID:EvMYKlce0
>>366 あんなのと一緒にするな
TPOに応じた作りが出来なきゃプロとは言えない
仮に同じアプリを外部接続でも使えるようにしたいって依頼があったらそこから商談が始まるんだし
プロw
>>389 言っとくけど俺はそれを生業にしてるわけじゃないからプロじゃないぞ
391 :
名無しさん@十周年:2010/04/09(金) 14:33:28 ID:+qtWusEk0
インベンターの人って日本語変だけどブラジルか韓国の人なのかと思った
キャッシュ機能ってこういう時危険だよな
393 :
名無しさん@十周年:2010/04/09(金) 14:36:16 ID:+qtWusEk0
セキュリティーを "一層" 向上させました
394 :
名無しさん@十周年:2010/04/09(金) 16:41:33 ID:r+W30aEB0
話中にgoogleに責任押し付けようとしてたりする含みが入ってたり
こっちが分からないと思って、難しい言葉でうやむやにしてる感じの話に
キレそうだった。
何日も前にメールしたのに返事はよこさんし。
こっちが指摘しなきゃ全然気付いてないみたいな印象。
自分達のセキュリティー状態に関しては説明一切なし。
URL見れば杜撰だし、古〜いの使ってるのわかってるのに。
完全にバカにしとる。
フリーダイヤルに電話かけても、電子メールで問い合わせしても、むこうに顧客対応を何件やりました
というポイントを与えるだけで、事態解決には何の役にも立たないことをいいかげん理解しろ。
さっさと手ごろな法律家に相談して、法的なアクションを起こせ。そうしなければ、だれも助けてはくれないぞ。
396 :
名無しさん@十周年:2010/04/09(金) 18:49:30 ID:H6bGIAus0
これから出るエロゲーのメーカーに、
「メッセは信用出来ないのでそこで買いたくない。特典を卸さないで欲しい」ってメールすればいい
訴えて賠償金貰ったとしても
訴えた人にしか支払われないなら事件の解決にも今後の為にもならないな
壊滅的な損害を与えるか、信用を失った事実を広く周知させる事の方が重要
他の業者の認識も改まらない
グーグルを規制しろ。
今まで意識なかったけど、一種の情報泥棒じゃんか。
中国がやりまくったワケだが>グーグル規制
>>396 こういうことしかできないやつってかわいそう。何で法的に決着つけようとしないんだろうね。
組織立ってやるわけでもなし、ただのオナニーだな。
パスワード付きのURLなんて、どんな場面で使うんだろ?
402 :
名無しさん@十周年:2010/04/09(金) 19:12:42 ID:8Swz+mIhP
>>398 それはサンポールを規制しろってくらい無理なんじゃね
>>399 日本もやらなきゃ。
検索サイトなんて、なくても困らない。
自分が買い物してるサイトがどれくらい安全かなんて全く分からんから恐ろしいな。
メジャーサイト以外避けるとかそういう消極的な方法しか取れないし、メジャーサイトは逆にクラッカーに狙われてるし。
俺が買い物してるサイトの内、ここ1、2年でクラックされたのが2か所もあるw
googleが悪いわけでも、無いらしい話を聴いたんだけど、それが現実的かどうか
教えてほしい。
仕組み的にはね、例えば、
www.foo.comを観てた利用者が、次に、www.bar.com を観はじめたとするじゃん。
そのとき,www.bar.com のサーバーは、ユーザーが、www.foo.comから
来たことが分かるんだと言うのよ。
例えば、www.messe.com/password=numa123 を開いていたユーザーが、
www.ero.com を開くと、www.ero.com には、以前観ていたサイト情報として、
www.messe.com/password=numa123 が送られてしまう可能性があるんだってさ。
普通のサイトなら問題ないのだけど、
アクセス解析用のサイトだったりすると、この
www.messe.com/password=numa123 を、参考情報としてweb上に公開
しちゃったりすることもあるというのだよ。
事実かどうかは、わからない。ここの詳しひとに、教えてほしい。
>>405 そういう技術的なことはどうでもいいわけよ。
検索サイトが、通販サイトのパスワード情報を勝手に
拾って公開した、という驚愕の事実を認識するだけでよい。
とにかく検索サイトの情報収集行為に何らかの規制をかけないと、
これからも起きるよこんなことは。
今回の事件で企業も悪いけグーグルも悪い方に入るだろうな。
これからもこういう事件が起こった時には
問題の企業と一緒でグーグルはセットになって出てくるだろうし
なんでもかんでもサイトを拾い集める凄さが逆に脅威になってるからな。
409 :
名無しさん@十周年:2010/04/09(金) 19:58:13 ID:6/rHbKVS0
>>405 そういう「googleが悪いんじゃないもん!こういう可能性もあるんだもん!」
って言う人は前にもいたけど
・「実際に今回の事例にて」、メッセのパスつきURLが、現実に晒されていたのかどうか。
・パスつきURLを拾ったのはGoogleだけ、Yahoo!もBingも百度すらも
それを拾った形跡がないことをどう説明するのか
という質問に答えられた人は誰もいない。
まあ普通に考えて、どういう経路かは知らんが、Googleが情報を抜いたと考えるのが一番濃厚だな。
Chromeか、Toolbarか、Bookmarkか、Gmailかはともかく。
>>411 他の検索エンジンと検索結果が異なる事自体は特別意味を持たない
判明している事実は、サイトの当該ページが「誰でもアクセスできる状態にあった」事
というか「Googleが悪い」前提になっていて、悪くない可能性探しの流れであるかのような
言い方があからさまにおかしすぎるんだけど?
415 :
名無しさん@十周年:
そもそもセッション管理していなから、ページ移動するたびに認証情報も一緒に
送らないとダメ。かといってPOSTで送るにはフォームを使わないといけないし、
JavaScriptで自動でフォーム送信するなんて知識もないから、GETでパスワードを
引き回した。。。ってとこかな。
そもそもURLなんていろんな中継サーバーのログに残るわけだし、ってことはいろんな
とろこにパスワードをばらまいているのと同じ。プログラムの知識もなければ、
ネットワークの知識もない。そんな人がネット向けシステム作っちゃだめだって。