- 1 名前:名無したちの午後 mailto:sage [2010/04/03(土) 15:42:01 ID:gT0VDhbI0]
- 前スレ
メッセサンオー通販、エロゲ購入者の個人情報大流出 5
qiufen.bbspink.com/test/read.cgi/hgame/1270206300/
メッセサンオー通販、エロゲ購入者の個人情報大流出 4
qiufen.bbspink.com/test/read.cgi/hgame/1270187443/
メッセサンオー通販、エロゲ購入者の個人情報大流出 3
qiufen.bbspink.com/test/read.cgi/hgame/1270175911/
メッセサンオー通販、エロゲ購入者の個人情報大流出 2
qiufen.bbspink.com/test/read.cgi/hgame/1270156384/
メッセサンオー通販、エロゲ購入者の個人情報大流出
qiufen.bbspink.com/test/read.cgi/hgame/1270133624/
- 601 名前:名無したちの午後 [2010/04/04(日) 13:24:44 ID:MAZ/lsiqO]
- 誰かが窓口になって被害者の会を作ろうとは思わないのか?
メッセサンオーが倒産しなければ、電話交換や引越し費用の請求くらいできる
- 602 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:24:52 ID:6hNoV1LC0]
- 出社してからの対応は早かったんだけどな・・・
これが2chでスレ立ってすぐだったら、まだ良かったんだが。
- 603 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:26:11 ID:pj2ylpCwO]
- >>602
……早かったか?w
- 604 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:26:56 ID:YkqF6kGs0]
- やたら就職がアウトだの何だの煽ってる奴が先頭に立ってやればいいんじゃないか
- 605 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:27:24 ID:gp6mLcFW0]
- >>595
Perlでどこまで機能持たせたか知らんけど
dbそのもののアップロードやダウンロードはftp使うからな
まさか管理画面にディレクトリ管理まであるとは思えないw
まー全顧客データ流出したとしたら、ディレクトリ管理までできたってことだろうな
- 606 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:27:46 ID:MAZ/lsiqO]
- >>602
普通の会社なら22時とかまで残業は当たり前なんだけど
ダメ企業って閉店と同時に録音音声に切り替えるんだよな
- 607 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:29:53 ID:gp6mLcFW0]
- >>606
公開番号を音声ガイダンスにするのは企業規模関係なくね?w
メッセと取引してる営業がいりゃいつでも繋がる番号分かるだろうけどな
- 608 名前:名無したちの午後 [2010/04/04(日) 13:30:46 ID:H2uv9qhLO]
- これカオス館は大丈夫なの?
エロゲはメッセサンオーで買ったことないけど、カオス館で洋ゲーはたまに買ってたから心配なんだが
変なメールやら来てないし多分大丈夫だと思うけど
- 609 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:32:33 ID:MAZ/lsiqO]
- >>607
まともな会社は音声対応時間でも録音機能が付いていて1時間以内に対応するよ
- 610 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:36:04 ID:gp6mLcFW0]
- >>609
ねーよw
うちは上場外資だけど、公開番号は全部無視
非公開の子番号はいつでも繋がるけど、それを知るのは取引関係者だけ
時間外の問い合わせなんて受け付けてたら、何の為の営業時間か分からんだろ
- 611 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:38:04 ID:v8oNgsug0]
- とりあえず関係スレ拾ってくればわかることであまり煽らないの
憶測でしかないけれど
過去1ヶ月の販売データは操作していた人物(沼田某と思われるPASSを知る人物)が
業務(データ分析して販売戦略組み立て)での利用を目的に生成したデータ
そのCGIの仕様がタコでリファラがサーチエンジンに渡されてあぼーん
その事象が様々な憶測をさらに増やしているんだよ
今北系の情弱さんは釣りも含めてもっと面白い新ネタコピペで頼む
火消し役さんも同様
本当に被害にあった人はとにかく直接的なアクション(イタ電etc)あれば
黙って被害届または被害相談を管轄警察に届ける
女性ならメッセに直接抗議、そして電番やメアドは出来るだけ変更(他のショップ等の登録に使っていたらそれら全てダミー情報に変更してから)
可能なら転居も検討
- 612 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:39:38 ID:oN0JNyF/0]
- >>610
某損保会社にそれやられて困ったことがあったな。
どうしても今じゃないと無理なんだと営業所経由でお願いして電話を担当から回してもらったけど。
- 613 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:40:49 ID:cRTODtXiO]
- スゴい必死な工作員がいるな……w
あるいはボクチンの推理だけが正しいんだい!!って馬鹿か。
- 614 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:40:56 ID:v8oNgsug0]
- >>612
営利企業というものはそういうもの
あと顧客にはレイヤーというものがある
公平ではあるが平等ではないのが世の中
- 615 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:42:14 ID:nv7UghVK0]
- >>610
まあ、公開無視でも610みたいな会社は
緊急時にはほぼいつでも動けるような仕組みはあるんだろうな。
皮肉じゃなく、うらやましい。
>>608
PC館以外はひとまず安心だけど完全安全宣言は今のところ無理。
お詫びメールも流出者の中で、さらに限定的にしか送信してないみたいだけど。
PC館リアル店舗ほとぼり冷めるまで休業の巻
739 :名無しさん@十周年:2010/04/04(日) 13:05:01 ID:bfPHGN9O0
>>729
twitterってメッセサンオーのアカウントかと思ったら
つぶやきか。勘違いしちまったよ。
転
ttp://twitpic.com/1d2bll
本日より、PCゲーム館1Fは諸事情により、
誠に申し訳ございませんが、臨時休業
とさせていただきます。
開店時期に関しましては未定となっております。
なお、ご予約商品のお引換えに関しましては、
只今、PCゲーム館B1Fにておこなっております。
(営業時間:11:00〜20:00)
お問い合わせに関しましては下記までお願い致します。
メッセサンオー PCゲーム館
【原文電話番号】
- 616 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:42:45 ID:JkZVtNbv0]
- >>605
ここのCGI使ってるそうだから、外部仕様を見ると機能がなんとなくわかる。
ttp://service.wb-i.net/
感じとしては、DBを使わずファイルシステムだけで管理する小規模向けのCGIだな。
>>608
カオス館はメールか電話での注文のみみたいだけど、それなら漏洩しようがないかと。
情報を持つ外部サーバが無いから。
- 617 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:42:51 ID:gp6mLcFW0]
- >>612
損保だとCC無いか?
俺もオカマ掘られて事故証明送った時に営業時間外だったけど
CC経由で担当に折り返ししてもらった
- 618 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:43:17 ID:aPqB/XAP0]
- 店頭に出ている店員はいろいろといわれてつらいだろうな。
- 619 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:44:49 ID:vY298je5P]
- とりあえず関係ないレスばかりしてるID:gp6mLcFW0 NG推奨
- 620 名前:名無したちの午後 [2010/04/04(日) 13:47:06 ID:zP2r3IFT0]
- 人に言えないほど恥ずかしいものを買って
イタ電きたからって警察に相談とか
やれるものならやってみろ!!
それこそ警察の不審者リストにのるぞ
- 621 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:47:25 ID:gp6mLcFW0]
- >>616
>システム設定がWEB上から可能。
\(^o^)/オワタ
- 622 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:48:07 ID:cRTODtXiO]
- セキュリティ脆弱性ってより管理が糞過ぎて流出したわけで
まだデータはオフラインにしかないのを明言してる
プロップの方がマシだな
- 623 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:48:09 ID:MtIk0hwyO]
- てす
- 624 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:48:19 ID:NVK949hB0]
- もう、ピザは嫌だ―――――――――――――――――――――――――――――――・・・
- 625 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:49:42 ID:GdKYqjU50]
- 俺は流出してないけど、
メッセがおわびにいろんな作品の予約特典とかありったけくれれば、
金銭価値的にはアレでも、それなら流出良いかなと思ってしまう俺は深刻なエロゲ脳
- 626 名前:名無したちの午後 [2010/04/04(日) 13:49:47 ID:zP2r3IFT0]
- まあお前らクズはすぐに忘れて
特典つければまた直ぐに買うんだから
ガタガタ言わずにエロゲで黙って抜いてろ
- 627 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:50:10 ID:ez/ez3XQ0]
- >595
できる、できないで言えばCSVダウンロードはできるっぽい。
配布元のサンプルを一ついじってみた(実際はどれが使われてたか俺は知らん)が、
顧客、販売管理情報を検索するたびに
その結果をCSVとしてダウンロード用に生成することができるようで。
そのCSVは多分そのままサーバ上に放置されて削除されないんじゃない?
違うかもしれないんだけど、例えば、1月分の情報を検索するとサーバ上にも結果がCSVとして生成されてそれがダウンロードできる。
(管理者ページからリンクが作ってあるのでクリックで開ける)
CSVはそのまま放置されてたのでサーバ設定もあってそれが拾われた。
改めて管理者ページから全期間の情報を検索するとそれがCSVでできてダウンロードできる。
書いてて思ったけど、管理者が最後に検索したのが全期間だったらそれがキャッシュされてたんじゃねえの?これ。
- 628 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:50:57 ID:r0r/NKnqP]
- 記憶してる限り4〜5年前に一回使っただけだが
持ってるデータを削除しろと要求したらこんな返事が来た
ちなみに変なメールその他はきてない
○○様
メッセサンオーPCゲーム館です。
先ず、お返事が遅れました事、お詫び申し上げます。
誠に申し訳御座いません…。
現在確認しております漏洩情報にはお客様のデータはございませんでした。
上記ご報告申し上げます。
お客様の会員情報の削除も全て対応させていただきました。
ご連絡が遅くなり誠に申し訳ありませんでした…。
今後の対応につきましては、具体的な内容が決まり次第
早急にホームページにて告知をさせて頂きます。
この度はお客様に多大なご迷惑をお掛けして誠に申し訳御座いません。
引き続き全力で事態の収束に向けて対応させていただきます。
[][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][]
株式会社メッセサンオー
PCソフト館
<秋葉原店>
略
- 629 名前:名無したちの午後 [2010/04/04(日) 13:51:14 ID:zP2r3IFT0]
- >>625
所詮はエロゲーマーなど
この程度の知能しかないんだんらな(笑)
モテナイ底辺乙だぜww
- 630 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:53:17 ID:JkZVtNbv0]
- >>622
水無月ばけら氏も書いている通り、CGIの脆弱性だってのも正しい
GETでパスをURL渡しするという実装がアホで、入力ならPOST渡し、セッション管理ならcookieを使うのが普通
URLならば本人が外部に公開したりしなくても、リファラやGoogleツールバーの様な行動履歴を取るツールから
いくらでも外部に漏れるので
事実、このCGIの管理ページ名とpassというキーワードでぐぐると、同じ様にパスが漏れてる
通販サイトがいくつかみつかる
- 631 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:53:49 ID:GdKYqjU50]
- >>629
ハッハッハ。そんなに誉めるなよ(´∀`*)
- 632 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:54:49 ID:YkqF6kGs0]
- こっちから問い合わせないとお詫びすら送ってこないのか
流出が確認されてない人も含めて、とりあえず全会員に侘び文送るぐらいしても良いと思うんだがな
まあ既に流出が確認されてるはずの俺のところすら何も来てないぐらいだからこんなものか
- 633 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:55:06 ID:yUU3dDAW0]
- >>593
@すでに被害が甚大で取り返しがつかなくなっており(いわば手遅れ)、それよりも先に新たな被害者を出さないことに全力を尽くすか
A一週間全世界に公開されていてもまだ地球上に被害が拡大すると考えて、新たな被害者(避けられる被害者)が出ても無視するか
その違いだと思うよ。俺は@を取っただけ。君はAを取った。それだけ。細かい言葉のニュアンスは君の想像力で補完しなさい。
少なくとも俺は、この情報を教えてくれたら予約しようとは思わないな。何も知らないで予約した人には申し訳ない気持ちでいっぱいになる。
考え方の違いだから、これ以上はお互い無駄だな。俺はあくまでも、助かる可能性の高い命を救うのがポリシーだから。
- 634 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:55:36 ID:gp6mLcFW0]
- >>627
元のdbは暗号化されてるのかこれ?
- 635 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:56:38 ID:v8oNgsug0]
- >>628
> 現在確認しております漏洩情報にはお客様のデータはございませんでした。
> 上記ご報告申し上げます。
ここがびみょーなところだよね
現時点で全登録データぶっこ抜き(噂の●.●MBのCSV)がネタならばその通りだよね
しかしコンサルや弁護士が認めたオフィシャルな文言であれば、言質取れたと思って
今後流出した時は材料になる
疑うようで悪いがそのメール文が本物であれば・・・だが
- 636 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:59:00 ID:wT1cPhsr0]
- >>628
何だそのメール
バイト君にでも書かせたのか
- 637 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:59:40 ID:ywsOY6eu0]
- >>633
あーあ、厨二病のどうしようもないバカのお出ましだ。
- 638 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:01:33 ID:JkZVtNbv0]
- >>634
この程度の作りのCGIでされてると思うか?俺は思わない。
ところで、顧客管理用CSV(order_user.csv)のフォーマットにはパスワードが含まれていないようだが、
管理ツールだとパスワードも含めて出力できるんだろうか。
ちょっと記述が見つからなくてわからんのだが。
- 639 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:02:24 ID:l+WHkj1AP]
- >今後の対応につきましては、具体的な内容が決まり次第
>早急にホームページにて告知をさせて頂きます。
今後も個別にはメールはしませんよって受け取れるんだが
- 640 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:03:52 ID:dYXrYth/0]
- >>638
3.2MBにはあるっぽい
- 641 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:04:06 ID:JQ0M3q5OP]
- メッセ叩くのはいいが、エロゲ買ってたというだけで白眼視する世間様とは戦わない
エロゲユーザーに失望したw
「情報流出で社会的評価が失墜した、賠償を(ry」とか言えば
エロゲが悪ということは認める流れになる。また大人の戦いか…
- 642 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:05:04 ID:Rys1THYj0]
- >>639
ふざけてるよな
マジでよっぽどの予約特典をつけてくれないと許せないよ (`Д´) プンスカ
- 643 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:05:14 ID:JkZVtNbv0]
- >>640
いや、公式の仕様にどう書いてあるかって話。
とりあえずサンプルいじくって調べてるけど、今のところパスまで判る機能は見つかってない。
- 644 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:05:25 ID:dYXrYth/0]
- あと3.2MBのCSVはまだ流れてない模様
勘違いとかで実際はBの分だけ
- 645 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:06:20 ID:gp6mLcFW0]
- >>638
パスはweb画面の顧客データの方に伏字で載ってたな
これもしかしてカード型なんじゃないか?
それならその都度csvにテンポラリ出力するのも頷ける
- 646 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:08:04 ID:f6nnIco/0]
- 今来てる子達の求める燃料は千葉のレスによる「3.2MBのCSV」ですw
大方VIPのガキがwikiに書いたコピペをみて動いてるんだろう
わかりやすい
- 647 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:10:36 ID:gp6mLcFW0]
- もしカード型だったら3.2MBのcsvは存在しないな
とりあえずサンプル試したID:ez/ez3XQ0氏が仕様明かしてくれればどうなのか分かる
- 648 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:14:41 ID:yUU3dDAW0]
- 情報漏洩で死なないって言ってるが、これはどっちの意味でも解釈できるね。あまりいい言い方じゃなかった。
>>637
議論放棄か。それもまあ自由だ。こっちもやめるよ。俺の先生じゃないから付き合いきれない。
代理で書き込んでもらっているから申し訳ないしね。タイムラグでこっちも誰に答えているのか混乱してきたw
- 649 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:14:44 ID:JkZVtNbv0]
- >>645
顧客DBをCSVでダウンロードできる機能が付いてるのは、携帯電話対応の奴
ttp://wb-i.net/interlock.htm
と、ダウンロード販売対応の奴
ttp://wb-i.net/contents.htm
の二種類っぽいな。
これのサンプル見てみたが、Member Managerではパスは表示されないようだ。
(P=xxxというのが紛らわしいが、これはポイントらしい)
CSVも直接はダウンロードできず、サーバの所定の場所に作成してFTPでダウンロードする仕様っぽい。
しかも御丁寧に拡張子がcgiになってるから、WEBから参照しようとした場合はcgi実行ファイルと判断して
エラーになるっぽい。(少なくともサンプルシステム上では500のエラーになった)
これから判断すると、CSVでのダウンロードって本当に出来たかは疑問。
ただし、WEB上での一覧表示はできたので、それを保存されたらアウトだけど。
- 650 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:17:31 ID:JkZVtNbv0]
- って、今のサンプルだと、パスをGETで送ってURLに含まれる仕様が修正されてる……
- 651 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:17:58 ID:hik8E8za0]
- >>636
まともな文章書ける社員なんていないだろう
エロゲショップに勤めるような人間だぞ
- 652 名前:名無したちの午後 [2010/04/04(日) 14:19:27 ID:7SaQiP8oO]
- そもそも世間様に顔向けできないような、
卑猥な商品買う方にも問題あるわ
自業自得の変態野郎どもに明日が無いのは当然。
- 653 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:20:32 ID:gp6mLcFW0]
- >>649
古いバージョンはまんま.csvで吐き出してたから今回のようなことになったって訳か
どちらにせよdbがcsvでは無いってことは分かったし、全顧客データはガセっぽいな
- 654 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:21:52 ID:dYXrYth/0]
- >>647
とりあえず置いておくか
サンプルの管理画面
パスは1234
wb-i.kir.jp/sample/SPF910/admin.html
- 655 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:21:57 ID:5PkXFi6kP]
- こうやって開き直りみたいなレスがくるあたり追い詰められてるのかな
卑猥も何も違法なものじゃねえんだから文句を言われる筋合いはないのに
- 656 名前:名無したちの午後 [2010/04/04(日) 14:22:36 ID:De7m4jzzO]
- エロゲ買うのがそんなに恥ずかしい事かなあ?
他人に迷惑かけない限り、個人の趣味の範疇でしょ
- 657 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:22:57 ID:ez/ez3XQ0]
- >>647
自分で試せば一発でわかるだろうがw
俺は、
実際流れてるかは知らんが、
管理画面から全顧客の住所やらなんやらが入ったCSVを一発でダウンロードすることはできるし、
>>595の言うところの
>一度全データCSVを作成してDLし、その後一月分のCSVをわざわざ作成し直して放置した
はちょっと違うっぽいっていうだけですがな。
- 658 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:23:12 ID:JkZVtNbv0]
- >>653
いや、注文情報については拡張子CSVで生成されるし、直接Sale Managerからダウンロードできる。
仕様が異なるっぽい。
ユーザ管理機能についてはこの騒ぎで慌てて機能変更した可能性は否定できないが。
- 659 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:23:14 ID:2Omv+aqC0]
- 誰の人権も侵害していないしな
- 660 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:24:37 ID:dYXrYth/0]
- 今回の1月分はこれか
自動で消える予定だったらしいw
>※./csv_lock/sg_shop.lockなど。在庫管理のためのファイルロック用ファイル。自動作成・削除される。
- 661 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:25:42 ID:E78utcHW0]
- >>655
そりゃこの数日間で数百万の損失になってるだろうからな
早く火消しして何事もなかったように通販再開したいんだろ
- 662 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:26:14 ID:dkdk70hL0]
- >>652
お前もエロ画像とかAV見るだろう
- 663 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:29:14 ID:JkZVtNbv0]
- もちっと調べたら、注文情報には三種類のCSVがあるのな。
・注文管理用csv
・販売管理用csv
・顧客管理用csv
があって、このうち顧客管理用csvが今回流出した顧客一覧の様だ。
ここで、検索期間を大きく取ると、実質全ての顧客の情報をCSVでダウンロードできたぽい。
ただし、パスワードは含まれないようだ。
- 664 名前:名無したちの午後 [2010/04/04(日) 14:32:34 ID:7SaQiP8oO]
- 少なくとも近くにそんな類の趣味に浸っている輩が住んでいたら、
子供とかには一切近付くなって指示をするだろうな。
ネットで趣味の細分化とか云々って声高だけど、
至って常識的な世間の目すら麻痺してわからなくなってる変態どもが真のゆとり能だと思うわ。
- 665 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:33:41 ID:LScMuMtT0]
- >630
このCGIに関しては、販売元の責任が重大すぎる。
結局は、どんだけWebの基礎知識がないのにCGI売ってるんだよって話になるよな。
CSVについては疑問が残るが、管理ページのURL漏れたら駄々漏れって仕様が糞過ぎる。
そして、そんなちょっと管理ページサンプル見ただけでもわかるような穴に気付かずに
採用を決めたメッセのWeb担当者の責任も……
>633
君の意見は既に大規模に漏洩してしまったあとの話しかしていない。
情報漏洩は小規模なうちに対策を取るべきであり、祭にしなければ漏洩も大規模にならなかった。
これならそもそも1は成立しないし、公開前に対策を講じる事で2も成立しなくなる。
祭にするなど言語道断なんだよ。
- 666 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:33:47 ID:JkZVtNbv0]
- しかし、サンプルでCSVファイルのダウンロード名が muzukasiinamae1.csv となってるのが噴飯もの。
これはなんですか、外部の人からも参照可能だから、簡単に類推されてしまうような名前は付けるなと
そういうことですか?
見れば見るほどひどい仕様のCGIだ。
やっぱ日曜プログラマが小使い稼ぎに作ったCGIなんじゃないのこれ?
- 667 名前:名無したちの午後 [2010/04/04(日) 14:34:16 ID:7SaQiP8oO]
- ×能
○脳
- 668 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:36:10 ID:gp6mLcFW0]
- >>663
色々試したけど、デフォだとディレクトリのパーミッションミスって流出した場所に生成されるみたいだな
結局出力したらcsv_lock/order_user.csv、order_sale.csv、goods_file.csvが更新される仕様ってことか
それなら誰もが入手できたcsvしか流出してないことになるな
- 669 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:37:28 ID:JkZVtNbv0]
- >>665
> そんなちょっと管理ページサンプル見ただけでもわかるような穴
サンプル見る限りだと、全画面を1フレームで構成したフレームで隠蔽されててアドレスバー見てるだけでは判らないぽい
- 670 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:37:50 ID:5PkXFi6kP]
- >>665
ν速やvipの馬鹿どもが広めまくってたみたいだから相当数に漏えいしてるんじゃないのか?
ネットメディアも何故か食いついてとりあげてたし
- 671 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:38:16 ID:pj2ylpCwO]
- >>665
しかもメッセは通販の説明で顧客データはセキュリティ的に安全で漏洩は一切ありませんと言ってた上でのこの杜撰ぷり
- 672 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:39:57 ID:JkZVtNbv0]
- >>668
> デフォだとディレクトリのパーミッションミスって
いや、このCGIの仕様だと、パーミッションを設定すると管理者もダウンロードできなくなるので、
外部参照可能なパーミッションなのはCGIの仕様と思われる。
CSVデータをCGIプログラムから直接渡すのではなく、一旦サーバ上に生成してそのファイルを
ブラウザで参照する形になってるから。
結論:CGI開発元バーカ
- 673 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:40:38 ID:c5Kvbjti0]
- もし通販再開するなら他のところのシステム使うだろう
ここの会社のシステムを引き継いで使うようならマジ基地
- 674 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:41:10 ID:nv7UghVK0]
- 何回繰り返されたかこの話
wb-i.net/advice.htm#adm
設置方法Q&A14−管理画面の呼び出し方法
管理画面を呼び出し、パスワードを入力すると、
パスワードがアドレスバーに表示される場合があります。
これはパスワードをCGIで受け渡ししているためです。
それを表示したくないときはフレームを使うことをお勧めいたします。
- 675 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:41:41 ID:2Omv+aqC0]
- なかなか見事なスルーだ。
このままスルーでいこう。
- 676 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:42:27 ID:a3VAOnfYO]
- 自分自身はメッセ使ったことがないから被害はなしで
発覚直後の一日23時半頃からずっと経緯を追ってるが
何となくネット関係に詳しくなってるような錯覚覚える不思議
言ってることの大半はわかんないんだけどね
- 677 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:42:45 ID:SiSBcC6v0]
- 今日臨時休業なん? 秋葉近いから様子見に行って来るかな。
何か確かめてきて欲しいことある?
- 678 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:42:49 ID:gp6mLcFW0]
- >>672
うわそれひでえw
775に設定されてるのが仕様っておかしすぎるwww
それにしても<meta name="robots" content="noindex,nofollow">が何か物悲しいな
これはメタタグで回避できるような問題じゃないだろ
- 679 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:43:24 ID:pj2ylpCwO]
- >>668
そもそも今の事態を招いた原因が想像の斜め上のシステムと管理だったわけで。
csvデータ全顧客分検索して吐き出せる仕様ならもうアウトと考えた方が……。
しかし本当に今までむしろよく流出しなかったってレベルの酷い運営だw
- 680 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:43:37 ID:dYXrYth/0]
- >>674
もうこの会社頭が90年代だなww
ためしに適当にサンプルに注文突っ込んでみた
ID:pppppppppp
pass:12345
- 681 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:43:54 ID:LoAP7Bse0]
- しかし >>522が本当で外部委託してるならさすがにログはありそうだな
- 682 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:45:00 ID:JkZVtNbv0]
- >>678
そういう仕様だから>>666なんだろうな。
はっきり言える事は、このCGI業者(?)は無能だということ。
この業者は放置しておいたら駄目だろう。
- 683 名前:名無したちの午後 [2010/04/04(日) 14:45:11 ID:HW/5LieiO]
- ttp://wb-i.net/speed.htm#a0
ここに書いてあったんだけど会員ファイルは100分割されてるらしい
- 684 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:45:32 ID:ez/ez3XQ0]
- wb-i.kir.jp/sample/reserve/admin.html
おいらはこっちから入ってた。
多分根本的には仕様は違わない。
というか、検索CSV生成するにしてもページに直接リンク貼ってダウンロードとかどうなんよ。
詳しくないが、普通はパーミッションで制限かけてFTPとかで落とすようにするんじゃないの?
拡張子変えとけばまた違うのかもしれんが。
- 685 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:46:32 ID:nv7UghVK0]
- >>673
いまごろ販売コンサルどもがカートプログラム持って
てぐすねひいて待ち構えてるんだろうな
メッセサンオー(メッセって略は混同もあるし、
もともとがサンオーだからきちんと書きたい)は
今の対応でボコボコで、その中から信頼できるシステムを
選択できるのだろうか。
復活を急ぐばかりに、ゴロに引っかかったりしそうだ
余計な勘繰りだけど。
そうじゃなければ大手ショッピングサイト(楽・禿・尼プレ)に加入で
吸い上げ確定だな。
- 686 名前:名無したちの午後 [2010/04/04(日) 14:47:13 ID:7SaQiP8oO]
- このスレざっと読んだけど、
エロゲームを進呈すれば許すっていう奴ばかりなんだな。
騒いでるけど最善の落としどころもなんだかねぇ…
- 687 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:47:24 ID:JkZVtNbv0]
- >>684
こっちの「会員管理 Members Manager」にはCSVでのダウンロード機能は無いね。
「販売管理 Sale Manager」にはあるけど。
こっちの方が機能が少ないっぽいな。
- 688 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:49:50 ID:c1+lqX5e0]
- 【連絡事項】 楽しみにしています。 よろしくお願いします。
【連絡事項】 配送時の品名は『精密機器』でお願いします。
【連絡事項】 注文フォームの商品名の欄に特典の記載が無いのですが、特典は付属するのでしょうか? 発送前に連絡をお願いします。
【連絡事項】 配達先マンションは呼び鈴が無く中に入ることができないので、到着次第電話連絡をお願いします。
【連絡事項】 『梱枝りこ最新作草案[社外秘]』がもらえないならキャンセルしたいです。
【連絡事項】 配達の際は。裏口に配達をお願いいたします
【連絡事項】 2月・3月・4月発売の商品を一緒に頼むと2月・3月発売の商品も4月に発送されてしまうのでしょうか?もしそうならば、今頼む4個の商品の予約をキャンセルしたいです。
【連絡事項】 必ず、特典付きの商品をお願いします。
【連絡事項】 インターホンの接続が悪い時があるので、その場合は携帯電話に連絡してほしい。
【連絡事項】 自宅のインターホンが故障しておりますので、玄関のドアを叩いて呼んでください。
- 689 名前:名無したちの午後 [2010/04/04(日) 14:50:30 ID:vVUraB0j0]
- 170 名前:名無したちの午後 投稿日:2010/04/02(金) 12:15:22 ID:r3rTL77LO
オペ「本人確認のため購入したタイトルを何か一つ言っていただけますか?」
俺「ちゅ‥ちゅぱ‥ちゅぱしてあげる」
オペ「は?」
俺「だからちゅぱしてあげる」
オペ「‥頭大丈夫ですか?」
俺「あ、いや‥じゃ別の奴で。姪少女と娘姉妹」
オペ「‥人生大丈夫か?」
- 690 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:51:56 ID:dYXrYth/0]
- あと一応サンプルは403返してきてたけどおそらく会員データのフォルダ(./list)
にはちゃんとデータがあった可能性が高い
- 691 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:56:56 ID:fPuIv7peQ]
- >>666
難しい名前ふいたwww
- 692 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:59:58 ID:ywsOY6eu0]
- >>688
こういう基地外にエサを与えて騒ぎを拡大させたくせに、正義の人気取りな思考能力のない無能な働き者が>633
- 693 名前:名無したちの午後 mailto:sage [2010/04/04(日) 15:00:08 ID:dYXrYth/0]
- 試しにメルマガ送ってみた
会員 38名へメールマガジンを送信しました。
(会員 14名がメールマガジンの購読を解除しています。)
本気で届くのかこれw
ちょっと捨て垢で登録してみるか
- 694 名前:名無したちの午後 [2010/04/04(日) 15:02:37 ID:7SaQiP8oO]
- 総括すると今回の件はたいしたことはない。例えばネットスーパーで大根買った情報が流出しても、
常識人ならそこまで目くじらを立てる場面ではない。
大根でもエロゲームでもその情報の価値は同じである。
ここで過敏になっているのは、
自らもやましい商品だったと自覚してるに他ならない。
自己責任。
- 695 名前:名無したちの午後 mailto:sage [2010/04/04(日) 15:03:33 ID:EgQCTKit0]
- >ただし、WEB上での一覧表示はできたので、それを保存されたらアウトだけど。
生csv取得の可否に関心がいってるけど、結局不正アクセスしていればwebの一覧でも相当件数の
取得は可能だったてことだよね。
もし200件きざみとかだったら手間はかかるだろうけど、不正までするくらいならその手間を惜しむのも不自然。
3.2MBの真偽とは別問題だが。
不正アクセスがあったかどうかは明確にしないと被害対策にも関わる大問題だと思う。
- 696 名前:名無したちの午後 [2010/04/04(日) 15:03:41 ID:qlWYuiq60]
- 単なるPCゲームソフトを買っただけでしょ
何でそれを隠さなきゃいけないの?
- 697 名前:名無したちの午後 mailto:sage [2010/04/04(日) 15:04:49 ID:VCx9p+080]
- >>694
言いたいことはそれだけですか?
- 698 名前:名無したちの午後 mailto:sage [2010/04/04(日) 15:05:13 ID:dYXrYth/0]
- ちょっと待てこのサンプル・・・
メルマガがマジで届くんだが・・・・
普通メルマガとかは送信するふりだけだろ・・・・
- 699 名前:名無したちの午後 mailto:sage [2010/04/04(日) 15:05:46 ID:0LfTF5vEO]
- >>694
悪用や便乗して悪戯するカスが居るから問題なんだろ
- 700 名前:名無したちの午後 mailto:sage [2010/04/04(日) 15:05:52 ID:GdKYqjU50]
- >>694
アホですか。
大根だったとしても住所電話番号本名バレたら駄目だろ。
|
 |
