OCN、他人のメールパスワードを再設定できる不具合 38
ストーリー by hylom
なんでこうなるの 部門より
なんでこうなるの 部門より
cvmonto 曰く、
OCNなど各種サービスのユーザー専用サイトである「OCNマイページ」において、2011年10月17日から2012年2月3日の間、他のユーザーのメールパスワードを変更できてしまう状態になっていたとのこと(NTTコミュニケーションズの発表)。
メールパスワードを再設定する際に自分のものではないアドレスを入力してしまった場合、そのアドレスに該当するユーザーのパスワードが変更されてしまうもので、実際にパスワードが変更された例が236件発生したという。
聞いたこともないようなミスだが、OCNというかつての大ブランドで発生したことも興味深い。
OCNといえば (スコア:4, おもしろおかしい)
「プロバイダどこ?」
「教えぬ」
「ケチくさいなあ、プロバイダぐらい教えてくれたっていいじゃん」
「だから、教えぬ!」
このギャグのことしか思い出せません><
Re: (スコア:0)
新手のセキュリティー対策ですね (スコア:1)
大丈夫か? (スコア:0)
OCNもドコモも....。
ミカカ崩壊の序章?
Re: (スコア:0)
企業モラルとか企業責任とかの崩壊でしょうね。
東京電力がそうであるように、実質的な国有企業である場合、「最後は国が守ってくれる」という甘えが生まれやすく、それが今現われているということなのでしょう。
Re:大丈夫か? (スコア:2)
わからんでもないし、問題起してほしくはないけど、人数を把握して(小数?)すでに対策済みで正直に報告した1件の問題でここまで言えるとは思えない。
# 直接被害はないけど利用プロバイダだ。
というか、「甘えがあるからゼロリスクにできんのだ」こそ害悪だと思うが、どうかね?
M-FalconSky (暑いか寒い)
Re:大丈夫か? (スコア:1)
今回の件はリスクじゃなくてセキュリティホールだよ。
リスクというのは果たすべき責任を全て全うした場合にのみ許される言葉だ。
Webアプリ、特にインターネットに公開するものでは当然セキュリティチェックが実施されるべきはずであったし、
さらにいえばプロバイダにとって最も重要なはずのアカウント/パスワード設定のチェックに漏れがあった時点で、
それはリスクではなく責任逃れだ。
Re:大丈夫か? (スコア:1)
いや、まあ反論というわけではないんですが
OCN側から見てセキュリティホールであることや、それで言い分けしていいとは思ってませんが。
ユーザーから見たリスクがどうか。という方向性で書いたつもりです。
あってはならないポイントというのは理解してますし、やっちゃだめだとは思いますが、それをもって「「最後は国が守ってくれる」という甘えが生まれやすく、」はまあ想定しても「それが今現われている」にはならないんじゃね?と思ったもので。
あと、相手のミスについて、"絶対0で起してはだめ的で適切な後対処について評価なんてしない風味"もどうよ?と
非難するのはいいんだけど、1件目(いや以前のOCNの問題ってのはあるでしょうがここ近日はなかったという認識なので)の時は次がどうなのか、ちゃんと対策展開してるかが大事じゃ?
という積りでした。
# 文面がよくなかったか...
## むう、やっぱり言い分け臭いねorz
M-FalconSky (暑いか寒い)
Re:一度でも起こしたらダメってのが日本の特徴でしょう (スコア:2)
そんな国風では、初めてのトラブルぐらいで攻められて仕方がないのかもしれません。
ところでOCNのサイトを見ると、
『今後このような事態が発生しないよう、システムチェックの徹底・強化を図ります』という月並みな言葉しか書かれていません。
ここんところも、まさに日本企業の特徴が現れているようです。
誰がどんな方法でもってチェックをおこなうのかということを、いつまでに決めるのかすら書かれていないことについて、
もっと非難されるべきだと思いますがね。
#よくある顧客情報漏れの釈明で、「現時点では被害にあったという報告はない」と言って、影響が少ないように見せかけるような広報のしかたもヒドいと思います
Re:一度でも起こしたらダメってのが日本の特徴でしょう (スコア:1)
あい。そこらへんはダメだと思います。
# けど、もっと良い文面あるのかな、知りたい。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
リスクという言葉を勝手に定義するなよ。
リスクは果たすべき責任をすべて全うすることなんて、全然関係ないんだが。
Re: (スコア:0)
それをモラルハザードといって、ここ数年何度も口にされてきたことなんですけどね。
Re: (スコア:0)
巫女テスターさえいれば見つけ次第即刻鯖ごと落としてくれるので、このような問題になることはなかった。
記述言語 (スコア:0)
プログラムを記述する言語は何を使っていたんでしょう。
Re:記述言語 (スコア:1)
言語の問題ではないでしょ
プログラミングのミス?
フレームワークの設定ミス?
まぁプログラミングはミスがあるのが当たり前なので、ミスをしても大丈夫なように何らかの対策をしておくべきだと思うけどね。
Re: (スコア:0)
設計のミスでしょ。普段さんざん部品扱いしといて責任だけは押し付けとかどんだけ
Re: (スコア:0)
行き着く所まで行き着いた
・低単価
・多階層下請け構造
・短納期
の結果でしょ。
誰もが嫌がるババ案件を引かされた素人がサンプルプログラムの写しを納品しましたとさ。
Re: (スコア:0)
特許庁のアレもそうだけど、仕様を上げられ連中が発注元なのが不幸、仕様をブレイクダウンできない連中が受注先なのが不幸
Re: (スコア:0)
まさか設計に含んでなかったとは思えないし、実装ミスとか設定ミスだとは思う。
しかしそれがなんで動作確認で検出されなかったのかは謎だな。
このくらい普通にテストすればすぐに発覚するでしょ。
あと言語によってバグの出にくい言語と出やすい言語があるのは本当。
その中でもダントツのワースト1は、おそらくPHPだろう。
あれはプログラマの悪夢を具現化した、世にも恐ろしい糞言語だった。
Re:記述言語 (スコア:2)
思うに、「メールアドレスでログインした人がメールアドレスを間違えているわけがない」という大前提が、ユーザーIDでログインした人にも適用されてしまったということではないでしょうか。
Re:記述言語 (スコア:1)
Re: (スコア:0)
php以外を使えば安全になるとでも?
その思考をしてる時点でアウトだよ
Re: (スコア:0)
> php以外を使えば安全になるとでも?
誰がそんなこと言ってるの?
「バグの出にくい言語と出やすい言語がある」を「php以外を使えば安全になる」と解釈するような、論理的思考のできない人間にプログラムを任せたら確かにアウトになることうけ合いだね。
Re: (スコア:0)
> その中でもダントツのワースト1は、おそらくPHPだろう。
といっているのだから、PHP以外を使えば安全とは言わないまでもかなりマシになるというのが論理的帰結だが。
バグの出にくい言語ならなおさらマシだろう。
Re: (スコア:0)
プログラミングの問題というより初歩的な論理学の問題だと思う。
しかし広い世の中には法律家の気分で反対解釈なるものが適用されたりされなかったりする法学という学問があってだな
Re: (スコア:0)
単にPHPで安全なプログラムを作る技術がなかっただけでしょwww
Re: (スコア:0)
PHPで安全なプログラムを作ることは平均的な日本人プログラマには荷が重いようです。私でもちょっとしりごみしてしまいますね。
かつての? (スコア:0)
> OCNというかつての大ブランド
今でも大手だと思ってるんですが…。
最近は違うんでしょうか。
Re:かつての? (スコア:1)
「大ブランド」と「大手」って互換性あるのかな。
Re: (スコア:0)
雪印は食中毒事件の前でも後でも大手だったけど、ブランドとしては一変した。
事件前は一流ブランドだったけど、事件後は低品質の代名詞。
だからこそ雪印ブランドを捨ててメグミルクを作ったわけで。
Re:かつての? (スコア:2, おもしろおかしい)
事件前から給食で牛乳に注入するコーヒー牛乳のもとになる粉末(液体)をメグミルクって言ってました。会社名にしたってことは商標に問題がなかったんだろうけれど、もともとあったメグミルクはどうなっちゃったのか気になる。
Re:かつての? (スコア:1)
もしかしてミルメーク [wikipedia.org]のことかい?
Re: (スコア:0)
> だからこそ雪印ブランドを捨ててメグミルクを作ったわけで。
雪印ブランドを捨てたのではなく、雪印乳業が市乳部門を手放したから雪印ブランドが使えなくなっただけなんでは?
実際、市乳以外の乳製品では(そのまま雪印乳業が継続したため)雪印ブランドはずっと使われ続けているわけですし。
Re: (スコア:0)
今でも会員数は圧倒的にNo.1だと思うよ。家電量販店でPC買うと光 with フレッツで抱き合わせされるからね。
Re: (スコア:0)
例えば、Yahoo!BBはOCNにつぐ加入者数のISP大手だったと思いますが、ブランド性があると思ってる人はあまりいないんじゃないでしょうか。
Re: (スコア:0)
ブランド力皆無なのにブランド力があるとか勘違いして楽天Edyのような悲劇を量産し続けるよりはマシだと思う
Re:かつての? (スコア:1)
似たようなものなのに「どっちがマシ」って発言が
なぜ出てくるのか真剣にわからない