#FB良品 XSS祭りのその後:技術要素ではなく発言のまとめ
- SeijiMatsuda1
- 20133
- 8
- 3
- 11
あ…ありのまま 今 起こった事を話すぜ!FB良品でユーザ登録したら、パスワード入力欄は伏せ字なのに、入力確認画面がポップアップしてパスワードが表示された…な…何を言っているのか わからねーと思うが おれも 何をされたのか わからなかった… http://t.co/8GOlLSUU
2012-12-15 23:10:30FB良品のユーザ登録、メールの受信確認もしないのかと思ったら、確認ではないけど通知は一応来てました。どれどれ…うわー、ここにも、ぱ、パスワードが… http://t.co/8ofGpGVm
2012-12-15 23:17:58さっきの件、DBに保存する前にパスワードを送信している可能性や、パスワードを復号可能な暗号で保存している可能性もあるので、パスワードの平文保存と断定はできないと思います…が、しかし、でも…
2012-12-15 23:22:37パスワードの平文保存は証拠不十分ですが、メールという形でパスワードを平文送信していることは確定ですね。SSLが、色々な意味で、役目を果たしていない…
2012-12-15 23:24:03これ以降に関しては、技術クラスタ・セキュリティクラスタの方々がまとめるのを待つか、もしくは、気になる方は自分で情報を探されることをお薦めする。
現時点(2012年12月16日14時40分)で、某市長はランニングをしたり、Twitterを色々とサーチして自分へのネガティブ意見を潰すことに勤しんだりと忙しそうだが、本件に対してのコメントは無い。
とりあえず、前言に対しての修正発言や告知は一切無いので、つまり彼の言葉を "狂信的" に信用するのであれば、 『安全』 なのだろう。
また、別の某市長も 『心配していない』 発言後、何も言及されていないので、きっと 『安全』 なんでしょう。
というわけで、 『FB良品』 を利用されたい方を止めはしません。
私は使いませんけどね。
買うならば他の店で買います。
同じ品物でも、楽天で購入したほうが安かったという話もありますしね(笑
さて、市長の言葉を借りて言うならば 『風説の流布』 をしているのは 『誰』 なんでしょう?
さて、市長の言葉を借りて言うならば 『風説の流布』 をしているのは 『誰』 なんでしょう?
ちょっと動きがあったので加筆します。
『FB良品』 が2012年12月18日にサイトトップに以下のような文章を掲載した。
一部のお客様からFB良品の会員登録ページは、暗号化処理により保護されたページではない(URLが「http://」となっている)との懸念をいただきましたが、登録ボタン押下後のお客様の情報の送信は、SSL(Secure Socket Layer)を利用した通信により、自動的に暗号化の上行われております。また、ログインボタン押下後の通信及びログイン後に表示される会員情報もSSLにて保護されておりますので安心してご利用ください。(2012.12.18)
※SSLによる暗号化通信は、第三者による情報の盗用、暗号の解読が極めて困難であり、世界的に利用されている情報保護のための通信方式です。
ほぼ時を同じくして、ある方が問い合わせをした回答が 『FB良品(SIIIS)』 より届いたようだ。
この度は貴重なご意見を頂きまして、誠にありがとうございます。 会員登録ページにつきましては、情報を送信する通信はSSLで暗号化されておりますので、実質的に問題はございませんが、登録ページ自体のURLが「http://」であることが、(続き)
2012-12-19 05:08:57お客様から見た場合に不安を与えてしまうというご指摘を頂きました点を考慮いたしまして、下記の対応を予定、検討しております。(1)「登録情報を送信する通信は、暗号化されている」旨を注記としてページ内に記載を行います。(続き)
2012-12-19 05:09:21(2)さらに、お客様のご不安を解消するため、会員登録ページのURL自体を「https://」に変更する事についても、ASPサービス開発元におきまして変更を検討して頂いております。(続き)
2012-12-19 05:09:37上記安全性の裏付けとなる技術的な安全性確保の方法につきましては、ASPサービス開発元よりすでに報告をいただき、確認をしておりますが第三者にその内容を開示することはセキュリティ上のリスクがある為、(続き)
2012-12-19 05:10:10運営側からは、具体的な方法につきましては開示する事は出来かねますことを、ご理解いただけますようお願い申し上げます。 なお、FB良品ポータルサイトの問合せページにつきましては、SSL化なども検討しておりますが、当面の対応といたしましては、(続き)
2012-12-19 05:10:25情報の送信方法として、ウェブフォームではなく、お客様ご自身のメーラーで問い合わせいただくように、変更を行いました。皆様からの貴重なご意見を元に、より良いサイトにしていきたいと考えております。 今後ともFB良品をよろしくお願いします。 FB良品 運営担当 株式会社SIIIS
2012-12-19 05:10:47『当面の対応といたしましては情報の送信方法として、ウェブフォームではなく、お客様ご自身のメーラーで問い合わせいただくように、変更を行いました。』
なるほど、確かに 『FB良品』 への問い合わせページは少し前から変わっている。
だが、それが 『何の対応』 になるかは些か疑問。
だが、商品の問い合せページは未だウェブフォームだよ?
(現在は変更されメールの問合せに)
FB良品に対する問い合わせページはちょっと前からメールになっています。 が、商品ページからの問い合わせは未だにこれ(笑 RT @ronzo7415 :お問い合わせがフォームではなくメールとなった模様。 #takeotoilet http://t.co/kRgmaDnT
2012-12-19 08:14:04そもそも
『暗号化処理により保護されたページではない(URLが「http://」となっている)との懸念をいただきましたが、登録ボタン押下後のお客様の情報の送信は、SSL(Secure Socket Layer)を利用した通信により、自動的に暗号化の上行われております』
なんて書かれているけど、意味わかってますかー?
うーん?誰かが言ってましたけど『風説の流布は犯罪』なんですよねえ?
#takeotoilet 以前、樋渡氏に対しての批判や質問が集中した時に「市民以外に説明責任無いですよ」とお茶目なフォローをしていた人間がいたが、FB良品はECサイトであり参加自治体以外に影響が出るので、説明責任は果たされないといけない。 http://t.co/6J5gmxhr
2012-12-22 09:49:38