パスワードを忘れた? アカウント作成
1594723 story
NTT

OCN、他人のメールパスワードを再設定できる不具合 38

ストーリー by hylom
なんでこうなるの 部門より
cvmonto 曰く、

OCNなど各種サービスのユーザー専用サイトである「OCNマイページ」において、2011年10月17日から2012年2月3日の間、他のユーザーのメールパスワードを変更できてしまう状態になっていたとのこと(NTTコミュニケーションズの発表)。

メールパスワードを再設定する際に自分のものではないアドレスを入力してしまった場合、そのアドレスに該当するユーザーのパスワードが変更されてしまうもので、実際にパスワードが変更された例が236件発生したという。

聞いたこともないようなミスだが、OCNというかつての大ブランドで発生したことも興味深い。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • OCNといえば (スコア:4, おもしろおかしい)

    by kasrapa (35967) on 2012年02月11日 9時39分 (#2097022)

    「プロバイダどこ?」
    「教えぬ」
    「ケチくさいなあ、プロバイダぐらい教えてくれたっていいじゃん」
    「だから、教えぬ!」

    このギャグのことしか思い出せません><

    • by Anonymous Coward
      教えない方がいいでしょうね
  • by Anonymous Coward on 2012年02月11日 9時32分 (#2097019)
    いつまでも、同じパスワードを使ってるユーザーに警鐘を鳴らすという対策ですね(違
  • by Anonymous Coward on 2012年02月11日 8時49分 (#2097003)

    OCNもドコモも....。
    ミカカ崩壊の序章?

    • by Anonymous Coward

      企業モラルとか企業責任とかの崩壊でしょうね。

      東京電力がそうであるように、実質的な国有企業である場合、「最後は国が守ってくれる」という甘えが生まれやすく、それが今現われているということなのでしょう。

      • わからんでもないし、問題起してほしくはないけど、人数を把握して(小数?)すでに対策済みで正直に報告した1件の問題でここまで言えるとは思えない。

        # 直接被害はないけど利用プロバイダだ。

        というか、「甘えがあるからゼロリスクにできんのだ」こそ害悪だと思うが、どうかね?

        --
        M-FalconSky (暑いか寒い)
        親コメント
        • by Anonymous Coward on 2012年02月11日 9時39分 (#2097021)

          今回の件はリスクじゃなくてセキュリティホールだよ。

          リスクというのは果たすべき責任を全て全うした場合にのみ許される言葉だ。

          Webアプリ、特にインターネットに公開するものでは当然セキュリティチェックが実施されるべきはずであったし、
          さらにいえばプロバイダにとって最も重要なはずのアカウント/パスワード設定のチェックに漏れがあった時点で、
          それはリスクではなく責任逃れだ。

          親コメント
          • いや、まあ反論というわけではないんですが

            OCN側から見てセキュリティホールであることや、それで言い分けしていいとは思ってませんが。

            ユーザーから見たリスクがどうか。という方向性で書いたつもりです。

            あってはならないポイントというのは理解してますし、やっちゃだめだとは思いますが、それをもって「「最後は国が守ってくれる」という甘えが生まれやすく、」はまあ想定しても「それが今現われている」にはならないんじゃね?と思ったもので。

            あと、相手のミスについて、"絶対0で起してはだめ的で適切な後対処について評価なんてしない風味"もどうよ?と
            非難するのはいいんだけど、1件目(いや以前のOCNの問題ってのはあるでしょうがここ近日はなかったという認識なので)の時は次がどうなのか、ちゃんと対策展開してるかが大事じゃ?

            という積りでした。

            # 文面がよくなかったか...
            ## むう、やっぱり言い分け臭いねorz

            --
            M-FalconSky (暑いか寒い)
            親コメント
          • by Anonymous Coward

            リスクという言葉を勝手に定義するなよ。
            リスクは果たすべき責任をすべて全うすることなんて、全然関係ないんだが。

      • by Anonymous Coward

        それをモラルハザードといって、ここ数年何度も口にされてきたことなんですけどね。

    • by Anonymous Coward

      巫女テスターさえいれば見つけ次第即刻鯖ごと落としてくれるので、このような問題になることはなかった。

  • by Anonymous Coward on 2012年02月11日 10時33分 (#2097043)

    プログラムを記述する言語は何を使っていたんでしょう。

    • by Anonymous Coward on 2012年02月11日 11時10分 (#2097058)

      言語の問題ではないでしょ

      プログラミングのミス?
      フレームワークの設定ミス?

      まぁプログラミングはミスがあるのが当たり前なので、ミスをしても大丈夫なように何らかの対策をしておくべきだと思うけどね。

      親コメント
      • by Anonymous Coward

        設計のミスでしょ。普段さんざん部品扱いしといて責任だけは押し付けとかどんだけ

        • by Anonymous Coward

          行き着く所まで行き着いた
          ・低単価
          ・多階層下請け構造
          ・短納期
          の結果でしょ。

          誰もが嫌がるババ案件を引かされた素人がサンプルプログラムの写しを納品しましたとさ。

          • by Anonymous Coward

            特許庁のアレもそうだけど、仕様を上げられ連中が発注元なのが不幸、仕様をブレイクダウンできない連中が受注先なのが不幸

      • by Anonymous Coward

        まさか設計に含んでなかったとは思えないし、実装ミスとか設定ミスだとは思う。

        しかしそれがなんで動作確認で検出されなかったのかは謎だな。
        このくらい普通にテストすればすぐに発覚するでしょ。

        あと言語によってバグの出にくい言語と出やすい言語があるのは本当。

        その中でもダントツのワースト1は、おそらくPHPだろう。
        あれはプログラマの悪夢を具現化した、世にも恐ろしい糞言語だった。

        • OCNマイページだと、ユーザー認証に「ユーザーID+パスワード」か「メールアドレス+パスワード」のどちらでも使えるようになっています。

          思うに、「メールアドレスでログインした人がメールアドレスを間違えているわけがない」という大前提が、ユーザーIDでログインした人にも適用されてしまったということではないでしょうか。
          親コメント
        • by hatenage (45165) on 2012年02月12日 23時14分 (#2097680)
          htaccessでphp_value register_globals "On" なんてしただけで・・・おそろしくて夜も寝れません。
          親コメント
        • by Anonymous Coward

          php以外を使えば安全になるとでも?

          その思考をしてる時点でアウトだよ

          • by Anonymous Coward

            > php以外を使えば安全になるとでも?
            誰がそんなこと言ってるの?
            「バグの出にくい言語と出やすい言語がある」を「php以外を使えば安全になる」と解釈するような、論理的思考のできない人間にプログラムを任せたら確かにアウトになることうけ合いだね。

            • by Anonymous Coward

              > その中でもダントツのワースト1は、おそらくPHPだろう。

              といっているのだから、PHP以外を使えば安全とは言わないまでもかなりマシになるというのが論理的帰結だが。
              バグの出にくい言語ならなおさらマシだろう。

  • by Anonymous Coward on 2012年02月11日 11時39分 (#2097072)

    > OCNというかつての大ブランド

    今でも大手だと思ってるんですが…。
    最近は違うんでしょうか。

    • by Anonymous Coward on 2012年02月11日 11時57分 (#2097080)

      「大ブランド」と「大手」って互換性あるのかな。

      親コメント
      • by Anonymous Coward

        雪印は食中毒事件の前でも後でも大手だったけど、ブランドとしては一変した。
        事件前は一流ブランドだったけど、事件後は低品質の代名詞。

        だからこそ雪印ブランドを捨ててメグミルクを作ったわけで。

        • Re:かつての? (スコア:2, おもしろおかしい)

          by Anonymous Coward on 2012年02月11日 13時13分 (#2097111)

          事件前から給食で牛乳に注入するコーヒー牛乳のもとになる粉末(液体)をメグミルクって言ってました。会社名にしたってことは商標に問題がなかったんだろうけれど、もともとあったメグミルクはどうなっちゃったのか気になる。

          親コメント
        • by Anonymous Coward

          > だからこそ雪印ブランドを捨ててメグミルクを作ったわけで。
          雪印ブランドを捨てたのではなく、雪印乳業が市乳部門を手放したから雪印ブランドが使えなくなっただけなんでは?
          実際、市乳以外の乳製品では(そのまま雪印乳業が継続したため)雪印ブランドはずっと使われ続けているわけですし。

    • by Anonymous Coward

      今でも会員数は圧倒的にNo.1だと思うよ。家電量販店でPC買うと光 with フレッツで抱き合わせされるからね。

    • by Anonymous Coward

      例えば、Yahoo!BBはOCNにつぐ加入者数のISP大手だったと思いますが、ブランド性があると思ってる人はあまりいないんじゃないでしょうか。

      • by Anonymous Coward

        ブランド力皆無なのにブランド力があるとか勘違いして楽天Edyのような悲劇を量産し続けるよりはマシだと思う

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...