#FB良品 XSS祭りのその後:技術要素ではなく発言のまとめ

これは、セキュリティ・技術問題の話ではありませんので、セキュリティクラスタの方には興味が無いかと思います。 FB良品関係者がどのようなコメントをしたか?また、それに対してどう感じたか?のまとめです。
九州 沖縄 fb良品 樋渡啓祐 siiis 武雄市 セキュリティ
15
前へ 1 2 ・・ 7 次へ
徳丸 浩 @ockeghem
あ…ありのまま 今 起こった事を話すぜ!FB良品でユーザ登録したら、パスワード入力欄は伏せ字なのに、入力確認画面がポップアップしてパスワードが表示された…な…何を言っているのか わからねーと思うが おれも 何をされたのか わからなかった… http://t.co/8GOlLSUU
 拡大
徳丸 浩 @ockeghem
FB良品のユーザ登録、メールの受信確認もしないのかと思ったら、確認ではないけど通知は一応来てました。どれどれ…うわー、ここにも、ぱ、パスワードが… http://t.co/8ofGpGVm
 拡大
徳丸 浩 @ockeghem
さっきの件、DBに保存する前にパスワードを送信している可能性や、パスワードを復号可能な暗号で保存している可能性もあるので、パスワードの平文保存と断定はできないと思います…が、しかし、でも…
徳丸 浩 @ockeghem
パスワードの平文保存は証拠不十分ですが、メールという形でパスワードを平文送信していることは確定ですね。SSLが、色々な意味で、役目を果たしていない…
これ以降に関しては、技術クラスタ・セキュリティクラスタの方々がまとめるのを待つか、もしくは、気になる方は自分で情報を探されることをお薦めする。

現時点(2012年12月16日14時40分)で、某市長はランニングをしたり、Twitterを色々とサーチして自分へのネガティブ意見を潰すことに勤しんだりと忙しそうだが、本件に対してのコメントは無い。

とりあえず、前言に対しての修正発言や告知は一切無いので、つまり彼の言葉を "狂信的" に信用するのであれば、 『安全』 なのだろう。

また、別の某市長も 『心配していない』 発言後、何も言及されていないので、きっと 『安全』 なんでしょう。

というわけで、 『FB良品』 を利用されたい方を止めはしません。

私は使いませんけどね。

買うならば他の店で買います。
同じ品物でも、楽天で購入したほうが安かったという話もありますしね(笑

さて、市長の言葉を借りて言うならば 『風説の流布』 をしているのは 『誰』 なんでしょう?

さて、市長の言葉を借りて言うならば 『風説の流布』 をしているのは 『誰』 なんでしょう?

ちょっと動きがあったので加筆します。 『FB良品』 が2012年12月18日にサイトトップに以下のような文章を掲載した。

一部のお客様からFB良品の会員登録ページは、暗号化処理により保護されたページではない(URLが「http://」となっている)との懸念をいただきましたが、登録ボタン押下後のお客様の情報の送信は、SSL(Secure Socket Layer)を利用した通信により、自動的に暗号化の上行われております。また、ログインボタン押下後の通信及びログイン後に表示される会員情報もSSLにて保護されておりますので安心してご利用ください。(2012.12.18)

※SSLによる暗号化通信は、第三者による情報の盗用、暗号の解読が極めて困難であり、世界的に利用されている情報保護のための通信方式です。

ほぼ時を同じくして、ある方が問い合わせをした回答が 『FB良品(SIIIS)』 より届いたようだ。
アレナカンジノグラード @ronzo_0718
この度は貴重なご意見を頂きまして、誠にありがとうございます。 会員登録ページにつきましては、情報を送信する通信はSSLで暗号化されておりますので、実質的に問題はございませんが、登録ページ自体のURLが「http://」であることが、(続き)
アレナカンジノグラード @ronzo_0718
お客様から見た場合に不安を与えてしまうというご指摘を頂きました点を考慮いたしまして、下記の対応を予定、検討しております。(1)「登録情報を送信する通信は、暗号化されている」旨を注記としてページ内に記載を行います。(続き)
アレナカンジノグラード @ronzo_0718
(2)さらに、お客様のご不安を解消するため、会員登録ページのURL自体を「https://」に変更する事についても、ASPサービス開発元におきまして変更を検討して頂いております。(続き)
アレナカンジノグラード @ronzo_0718
上記安全性の裏付けとなる技術的な安全性確保の方法につきましては、ASPサービス開発元よりすでに報告をいただき、確認をしておりますが第三者にその内容を開示することはセキュリティ上のリスクがある為、(続き)
アレナカンジノグラード @ronzo_0718
運営側からは、具体的な方法につきましては開示する事は出来かねますことを、ご理解いただけますようお願い申し上げます。 なお、FB良品ポータルサイトの問合せページにつきましては、SSL化なども検討しておりますが、当面の対応といたしましては、(続き)
アレナカンジノグラード @ronzo_0718
情報の送信方法として、ウェブフォームではなく、お客様ご自身のメーラーで問い合わせいただくように、変更を行いました。皆様からの貴重なご意見を元に、より良いサイトにしていきたいと考えております。 今後ともFB良品をよろしくお願いします。 FB良品 運営担当 株式会社SIIIS
『当面の対応といたしましては情報の送信方法として、ウェブフォームではなく、お客様ご自身のメーラーで問い合わせいただくように、変更を行いました。』

なるほど、確かに 『FB良品』 への問い合わせページは少し前から変わっている。

だが、それが 『何の対応』 になるかは些か疑問。


リンク fb-ryohin.jp お問合せ | FB良品
だが、商品の問い合せページは未だウェブフォームだよ?

(現在は変更されメールの問合せに)


Seiji Matsuda R.I.P. @SeijiMatsuda1
FB良品に対する問い合わせページはちょっと前からメールになっています。 が、商品ページからの問い合わせは未だにこれ(笑 RT @ronzo7415 :お問い合わせがフォームではなくメールとなった模様。 #takeotoilet http://t.co/kRgmaDnT
 拡大
そもそも

『暗号化処理により保護されたページではない(URLが「http://」となっている)との懸念をいただきましたが、登録ボタン押下後のお客様の情報の送信は、SSL(Secure Socket Layer)を利用した通信により、自動的に暗号化の上行われております』

なんて書かれているけど、意味わかってますかー?


リンク QA@IT HTTPSを使う際に入力フォームのページからそうしないといけない理由はなんですか HTTPSにより入力データを暗号化する場合、データを受け取るページをHTTPSにしておけば、ユーザの入力値は暗号化され、盗聴されることはないと思います。しかし、HTTPSを使う場合は、入力画面のページからHTTPSにしないと意味がない...
うーん?誰かが言ってましたけど『風説の流布は犯罪』なんですよねえ?
Seiji Matsuda R.I.P. @SeijiMatsuda1
#takeotoilet 以前、樋渡氏に対しての批判や質問が集中した時に「市民以外に説明責任無いですよ」とお茶目なフォローをしていた人間がいたが、FB良品はECサイトであり参加自治体以外に影響が出るので、説明責任は果たされないといけない。 http://t.co/6J5gmxhr
2012年12月29日 どうも見ていて虫酸が走るような茶番劇が展開されていたので、質問を投げてみた。 以下がそのまとめ。
『 まとめるために発言を拾っていたら、既にまとめを作っていただけていたでござるの巻 』
ツイートまとめ FB良品サイトリニューアルでXSS祭りまとめ 武雄市長とその周辺の人が作ったFacebookと無印良品を合わせたようなFB良品(http://fb-ryohin.jp/)という名前のネット通販サイトがリニューアルしたところ、あまりにすごいサイトで祭りになっていました。 77155 pv 399 128 users 116
こちらのまとめていただいたものを参照していただければ充分ですが、私もせっかく拾ったのでこれ以降 『 バリバリ主観を入れつつ 』 まとめてみたいと思います。
樋渡 啓祐 @hiwa1118
今日、杉山さんにiMac助けてもらった。さすがの問題解決能力。指摘ばかりではなく、解決能力のある人と仕事したい。
杉山 隆志 @TakaFlight
@hiwa1118 iMacの件ごときで問題解決能力などと言うな、と言われちゃいますよ(笑) まぁ、前にも書きましたが、みんな違ってみんないい、で良いかと。 結果を一つずつ来年も積んでいきましょう。それが一番だと思います。 来年もよろしくお願いします。
何だ?この不気味なお遊戯会は?

樋渡啓祐氏からまともな回答がくることは無いですが、 『 FB良品 』 運営企業のSIIIS代表、兼ICT系の市政アドバイザーがいることだし、ちょっとは回答があるかもしれない。

『 問題解決 』 という同じ話題っぽい(笑)ので振ってみましょうかね?


Seiji Matsuda R.I.P. @SeijiMatsuda1
@TakaFlight @hiwa1118 FB良品って「どこの時点で問題解決」していて、「どこの時点で安全」だったんですか? http://t.co/N7hKaNJs http://t.co/6J5gmxhr #takeotoilet
杉山 隆志 @TakaFlight
@SeijiMatsuda1 何の問題があると認識されているのですか?XSSの問題であればオープン後の日曜日にはサービス提供元で解決されたと報告を受けてますよ。それ以外はそもそも問題があったのかどうかも含めて推測等ではなく何が問題だったのかを教えてください。 @hiwa1118
実はこの発言の時点で違和感を覚えた。

『 FB良品 』 運営企業の代表、兼武雄市市政アドバイザーである杉山氏は、私の質問を 『 XSSの問題の話題に誘導しようとしたいのではないか? 』 という印象である。

こちらのまとめにもあるように、XSS問題に関しては一応の解決を見ている。

ツイートまとめ 武雄市市政アドバイザーのさすがの問題解決能力 まるで解決していない…… 16733 pv 166 18 users 10
つまり、その話題に終始すれば 『 安全ですよ 』 と言えるわけだ。
yousukezan @yousukezan
この日曜日が9日を指すなら、14日にmakeshopからXSSは修正中だと連絡が来ているので@TakaFlight 氏の言ってる「XSSの問題であればオープン後の日曜日にはサービス提供元で解決された.. http://t.co/iJP85QYC
ありゃまー。

『 この日曜日が9日を指すなら、14日にmakeshopからXSSは修正中だと連絡が来ているので、@TakaFlight 氏の言ってる「XSSの問題であればオープン後の日曜日にはサービス提供元で解決された」というのは間違い。そして修正完了したのはたぶん今週 』

市政アドバイザーの発言の何を信用したら良いのだろうか?


Seiji Matsuda R.I.P. @SeijiMatsuda1
@TakaFlight @hiwa1118 そのために、まとめを提示しましたが読みましたか?そして検証されましたか?
Seiji Matsuda R.I.P. @SeijiMatsuda1
@TakaFlight @hiwa1118 それと、質問のもう一つとして「どの時点が安全だったか?」という部分も合わせてお聞きしています。 市長が安全だと言った後に杉山氏は「これから確認して対処する」という発言をされているのもまとめに書いてありますのでご確認ください。
杉山 隆志 @TakaFlight
@SeijiMatsuda1 こちらのお知らせでお伝えしている通りです。http://t.co/klMrOhQo こちら以上のお話であれば推測でなく事実を教えてください。 @hiwa1118
Seiji Matsuda R.I.P. @SeijiMatsuda1
話の流れを分断しないでいただきたい。 どの時点が安全だったのでしょうか? https://t.co/odY3iJaX RT @TakaFlighthttps://t.co/oOGBDDJD @hiwa1118 #takeotoilet
杉山 隆志 @TakaFlight
@SeijiMatsuda1 ご提示頂いたまとめと先ほどのお知らせを照らして見て頂き、さらに推測ではなく事実に照らしたご疑問があるようでしたら、FB良品の問い合わせでも結構ですので、お問い合わせください。
『 事実で示せ? 』 釣りサイト作って、ユーザをそちらに誘導して情報を引っこ抜けってか?

なんて恐ろしいことを言う人だ(笑


SAKIYAMA Nobuo/崎山伸夫 @sakichan
MakeShopのオンラインマニュアルみると、「クレジットカード情報保持機能」というのがあるねぇ。ということは、form がSSL保護されてないことで実害起こりうるね
SAKIYAMA Nobuo/崎山伸夫 @sakichan
そして fbryohin.jp が空いているのか。アツいですね。
Seiji Matsuda R.I.P. @SeijiMatsuda1
まとめにも書きましたが、「釣りサイト作って事実に照らして指摘」するのをアドバイザーの方も推奨されているようです。 http://t.co/N7hKaNJs https://t.co/x8tVrCbb RT @sakichan :そして fbryohin.jp が空いているのか。

『 FB良品 』 運営企業SIIISの代表であり、武雄市の市政アドバイザーでもある杉山氏は何度も 『 事実で指摘しろ 』 と言ってますので、どなたかやってみたら如何でしょう?

運営会社代表がOK出しているので法的にも問題無いかもしれません(笑


SAKIYAMA Nobuo/崎山伸夫 @sakichan
fbryohin.jp に偽ショップ作って id/pass ブッコ抜きとか仕掛ける人が出たら、樋渡氏も引っかかっちゃうんじゃないですかね
ナょωレよ″丶)ょぅすレナ @rna
@sakichan spotify-jp にひっかかるくらいだしね。
金の髭 @goldenhige
@sakichan Spotify-jpに引っかかった1件もありますし、これはアツいですねぇ(真顔)
ツイートまとめ 武雄市の樋渡市長がSpotifyという日本で利用できないはずの音楽配信サービスを裏サイトを使って利用し他者にも勧めて.. 樋渡市長は「日本Twitter学会長」「日本Facebook学会長」を勝手に名乗っていますが、 その実態はかなりレベルの低いネットリテラシーしか持たない方だったようです。 今後の展開によっては明確に違法だと判断される可能性もありますので、 報道・法律・音楽業界関係者の方々など、それぞれ全力で追及し見解を表明していただけるとよいかなと。 また、樋渡市長はこの件で違法性の懸.. 140653 pv 1431 272 users 502
SAKIYAMA Nobuo/崎山伸夫 @sakichan
fb-ryohin.jp が正規、に対して fbryohin.jp のみならず fb-ryouhin.jp も fbryouhin.jp も空いてるのかぁ…。
前へ 1 2 ・・ 7 次へ

コメント

とげとげ @togetoge10 2012年12月16日
市長のリテラシーのなさからすると、予想通りの反応、といったところでしょうか。ユーザーの皆様には、御愁傷様としか言えません…。
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月16日
まとめのタイトルに「その後」と書きましたが、まだこちらも進行中のようです。「FB良品サイトリニューアルでXSS祭りまとめ」 http://togetter.com/li/420276
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月20日
まとめを更新しました。 fb-ryohin.jp/ #takeotoilet #FB良品
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月20日
編集可能状態にしておりましたが、どうもURLを弄られた形跡があったため、修正し編集不可能状態にしました。 もし、何か問題があって削除などの必要がある場合はご一報ください。
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月30日
まとめを更新しました。どうやら、そもそも『安全宣言』なんてものは存在していないようです。 http://fb-ryohin.jp/ #takeotoilet
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月30日
市政アドバイザーの発言に虚偽(間違い?)があったようなのでまとめを更新しました。 #takeotoilet
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月31日
「釣りサイトでウマー」的な話を付記しました(笑 http://fb-ryohin.jp/ #takeotoilet
Seiji Matsuda R.I.P. @SeijiMatsuda1 2013年1月1日
まとめを完結しました。『FB良品』を利用する方はせいぜい気をつけてください。 http://fb-ryohin.jp/ #takeotoilet
Jean-Luc Picachu @JeanLuc_Picachu 2013年1月3日
担当者の意識がこのレベルだとSQLインジェクションのテストとかしたらボロボロになりそうだな。
ログインして広告を非表示にする
ログインして広告を非表示にする