So-net無料ブログ作成
検索選択

ユニクロのセキュリティがヤバイ? [コンピュータ]

UNIQLO_security.png
 ユニクロの新モデル下着を10万人にプレゼントするキャンペーンサイト 「UNIQLO 10万人トライアル」http://www.uniqlo-cool.com/ で、応募時に内部エラーがそのまま表示されるトラブルがあちこちで報告されています。エラーの内容はズバリ

PHP Error(USER): [DB Error] : message="DB Error: unknown error" info="INSERT INTO `M_user`(`regist_datetime`,`update_datetime`,`user_mailaddress`,`user_type`,`user_password`,`user_status`,`user_ua`,`user_device`)
VALUES(NOW(),NOW(),'********@gmail.com','NO','*********',1,'Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1','PC'); [nativecode=1213 ** Deadlock found when trying to get lock; try restarting 
transaction]" in /home/prj/101/contents/private/lib/magicwork/DBO.php on line 227 

ありゃまあ。本当にすっぴんのPHPエラーメッセージです。エラーが発生したPHPファイルのフルパス、行番号、そしてなによりSQLクエリが丸見えです。そもそも DBへの INSERT でなんでデッドロックが起きてるんだというツッコミはさておき、Web画面上にエラーを表示する設定は、開発・テスト段階ではデバッグのためONにされるものの、運用中は絶対にOFFにしなくてはなりません。こうしたエラーが見えてしまうと、サーバ上の構成やシステムの設計が推測され、侵入されやるくなってしまうためです。


 ユニクロは 2010年に Twitter との連携企画「UNIQLO LUCKY LINE」で、Flashの動作に必要な内部データを公開ディレクトリに野ざらしにしたり、ユーザーの Twritter ユーザ名・パスワードを、Twritterのサーバで認証させる安全な方式(ほとんどのサイトで採用されているスタンダードな方法) ではなく、UNIQLO のサーバで管理し、しかもそれを暗号化もせず外部のサーバーに送信していた事実が明らかになり、ちょっとした騒ぎとなりました。

 いずれのセキュリティインシデントも極めて稚拙なものであり、ユニクロのセキュリティは相当やばいものと推測されます。同社のサービスを利用する際は、少なくともいつも使っているパスワードを登録するのはよしたほうが賢明かもしれません。

nice!(2)  コメント(1)  トラックバック(0) 
共通テーマ:パソコン・インターネット

nice! 2

コメント 1

shige

デバッグモードONはまずいですねw
by shige (2012-06-12 07:58) 

コメントを書く

お名前:[必須]
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

※ブログオーナーが承認したコメントのみ表示されます。

トラックバック 0

この記事のトラックバックURL:
※言及リンクのないトラックバックは受信されません。

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。