久しぶりにちゃんとした技術ネタよ。特に、いわゆるWebアプリケーション*1を作ったり設計したりしている連中は耳かっぽじってお聞きなさい。よろしくってかしら？

なんていうか…なんとも言えず愚かなセキュリティホールを拝見いたしましたの私ったら。
そのサイトは、セブンアンドワイ株式会社さんの運営なさってらっしゃる セブンアンドワイ ( http://www.7andy.jp/ ) 。
あたくしったら、ここの会員になってみましたの。で………とても驚くものを拝見したわ？

会員情報の変更画面があるの。
少なくとも今時点では、メールアドレスを変更する、住所/電話番号を変更する、ID/パスワードを変更する、の３つのメニューがあるわ*2
もちろんこの時点で「３つともURL一緒じゃん」とかいう突っ込みは置いておくとして。とりあえずその画面に伺ってみると………そこには、驚くべき出来事が待ち受けていてよ？

その画面には、パスワードと、パスワード（確認）の入力項目があるの。………ちょっとばっかり冷静に見ると。INPUT boxの中が、なぜか*で埋まっているわ？
ええもちろん「それはダミーでね」って可能性が否定できるものではないと思うの。となると…やっぱり女としては「つい裏側を覗いてみたくなる」ものではなくってかしら？
もちろん拝見させていただくわ「御宅のHTMLソースコード拝見」のお時間よ？

お嬢様？ どうなさいましたか、いきなり悲鳴を上げられて………をを気絶なさっている！！ はやくラベンダー油をお持ちしなければ！！！

ああバトラー、ローズマリー油を持ってきて頂戴？ このままじゃ早晩記憶を失ってしまいそうよ？

ふぅ…びっくりしたわ。………正気かしら？
hiddenに、パスワード、ダイレクトに生にそのまんま拝見できる状態で書いてあるってどういうことかしら？
…言っててまた眩暈してきたわよ。
なんていうか…ありえないわ？ こんな愚にして堕なサイト、まだ存在していたのね？

しかも、その次の確認画面がまたなんとも秀逸だわ？
hidden項目のオンパレード。CIDとかってのも気になる感じですしemailやuser_id がダイレクトに入っていたりするのも物凄く気になるんですけれども。
hidden.item.keyってなにかしら？ hiddenとはいえ4000バイト以上のデータ持たせるのって大抵正気の沙汰とは思えなくってよ？*3
しかもそのデータときたら、0-9とa-fまでしか使っていないの。あらあらこれってまるで16進数を拝見しているみたいじゃなくってかしら？
ええもちろん。その16進数からjava.util.Hashtable とか jp.ne.eshopping.eshop.member.EsiChgMembersInfoCtrlsr とか jp.ne.eshopping.was.base.WasParameter とかなんて文字列が推測できるなんて事は決してありませんことよ？
当然、入力データが生で見れるなんてこともなければ、書き換えられそうだなんて感じの印象を持つこともありませんわ？
ですからもちろん「Hashtableシリアライズしただけじゃん」とか「どうせinのチェックしてないだろうからデータ改ざんして」とか「データ領域あふれされることが出来たら」とか、そんな邪悪な発想なんてまったくありませんことよ、ええ(邪笑

…こんだけ突っ込みどころ満載でダメなサイトも久しぶりだわね？
どうかしら、これを設計なさった方は、是非一度「０からやり直してみては」如何かしら？

もちろんこんだけダメなサイトですもの。ここで終わらないあたりがなんとも期待を裏切らない感じだわ？
あたくしは、まず６月の終わりごろにご連絡を差し上げましたの。早急な窓口からの返信と、ちょっと遅くはあったんですけれども技術系の部署と思われるところからの丁寧な返信があったので、あたくしはとても安心しておりましたの。
どんな御仁だって、ミスくらいは起こしますわ*4。何はともあれ、きちんとしたお返事が頂戴できるのであれば、あたくしとしても「ご連絡差し上げてよござんしたわ」って思えて、豊満な胸をなでおろしつつゆっくりできるんですけれども。

…８月に入ってなおまったく改善されていないってどういうことなのかしら？
もちろんあたくしとしては再度ご連絡を差し上げたわ。「いったいどうなっているのかしら？」って。
でも…残念なことに。まったく同様に「色よくなにも理解していない雰囲気を漂わせた上っ面だけの回答」がかえってきてよ？
挙句に出てきたのが「８末を目処に修正を予定している」ですって？ 冗談じゃなくってよ？

一応ここで、修正方法を教えておいてあげるわ？
パスワードは当然ながら、value部分には何も入れないの。で、処理の時に

  if ("" != password) {

    パスワード変更用処理

  }

弊社ではお客様へのご回答は、
お問い合わせいただきました順に随時ご対応させていただいております。

ですって？ まぁそれじゃ「６月末より以前からず〜っと並んでいる」のかしら？
もうちょっと状況をきちんとご覧になってからご返信あそばせ？
「もうちょっとで対応できます」もあんまり過ぎると信用を失ってしまいましてよ？
まぁもっとも。

先日よりご指摘いただいております件でございますが、
弊社担当部署でも現象は把握いたしております。

ってあたりが…把握できてないんだか理解できてないんだか、いい感じに過ぎるわね。
そんな認識なら、きっと「どこまでもどこまでも」お客を「もうちょっと」って言って待たせてしまいそうだわね？

結局のところ。素人としか思えない設計とつくりと、その後で客のクレームを上っ面だけで流していく厚顔無恥なやり口が、どこまでもサイトの品位を叩き落しているわ？
カスタマーサービスからのメールが全部「違う人だった」あたりからして…もしかしたら、連携すらろくすっぽ出来てないんじゃないかしら、って勘繰りすら出来てしまうわ？
こんなんじゃ、見えない部分のセキュリティなんてもっと酷くて惨いことがいくらでも想像できてしまってよ？

始まりは大切で、でもその後の事後処理っていうのはそれ以上に大切なの。
もっとも、どちらも出来てないんじゃ、論じても詮無いことなのかしら？
ほら、きっと現場はとてもお疲れよ？ 特製のロイヤルミルクティは如何かしら？ たっぷりの粉砂糖が入った、天にも昇るほどに素敵なお味よ？

追記よ。
さきほど、メールがまた来てたんですけれども。

お問い合わせの件につきましては、
先程もご案内いたしましたが、
担当部署でも現象の把握ができております。

あらあらちゃんと把握できているのねぇすごいわぁ。
「もし」本当に把握できているとして。あたしなら、金切り声上げて技術部に殴りこみにいってるような気がしてよ？
ま、状況わかってて「あと一月」とか言ってるんですから…きっと大丈夫なんじゃなくってかしら？
「なにが」大丈夫なのかなんて、あたしのセンスじゃ全然わからないんですけれども。

ちょっと技術の話からそれるように見えるお話なんですけれども。
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2006/07.html#20060726__flare 経由で拝見いたしましたの。
どこぞの「なにか履き違えるだけ履き違えきった」国に絡む騒動よ？ でも残念なことに、お話のメインは日本の自衛隊ですの。
まずは引用から。このURLってすぐにいなくなってしまうから、相変わらずたっぷりの引用でお伝えするわ。

http://www.kobe-np.co.jp/kobenews/sg/0000077926.shtml より
兵庫県は二十六日、防衛庁が二十五日午後に香美町沖の日本海でミサイルのセンサー感知試験を実施したことを明らかにした上で、十分な船舶への安全確認や事前情報がなかったなどとして、同庁に抗議したと発表した。けが人はなかったが、漁船の約五キロ先で水柱のようなものが目撃されており、県は「異例の事態」としている。
県によると、二十五日午後三時五十五分ごろ、香美町の北約百三十キロ地点で、韓国漁船が放置した漁具の回収にあたっていた香住町漁協所属の誠竜丸（伊藤誠船長、一九トン）の乗組員らが、航空機が低空飛行で旋回した後、東約四-五キロ先に五本の水柱のようなものを目撃し、現場から緊急避難した。計六人が乗船していたが、けが人はなかった。七月二十四-二十八日にかけて操業の予定で、現在も作業を継続している。
県は、防衛庁が実施する訓練の事前情報は「船舶の安全情報」として水産庁を通じ入手。今回の事態が発生した付近の南北約三百三十キロ、東西二百五十キロの海域は、四月から「射撃訓練海域」に指定されており、七月は一日から末日まで訓練を実施するという通知が六月二十八日に寄せられていた。また、訓練実施の際には、船舶が近くにいないことを確認することになっている。
しかし今回は艦船から発射された熱源を使い、航空機が搭載したミサイルの感知の性能を確認する「試験」。事前通知などの正式な取り決めがない上、二十六日午前の段階でも、防衛庁から、どのような部品が投下されたかなど詳しい内容は知らされていないという。
県は防衛庁と水産庁に、今回の試験についての情報提供や連絡体制の確立、船舶の安全確保などを求める要請文を提出した。
同日午前十時から県庁で会見した小池孝司県農林水産局長は「取り決めはないが、漁船が実際に危険を感じ、非常に混乱した。これほど近くで試験が行われるのであれば事前に詳細な情報を出すべきだし、船舶が近くにいるかどうかの確認も不十分だったのではないか」としている。
安全上、誠に遺憾　井戸敏三知事の話
今回のミサイル性能試験が本県に事前に通知なく実施されたことは、漁業操業の安全を確保する上から誠に遺憾。今後、このような事態が二度と起こらないよう、射撃訓練と同様に、詳細情報の速やかな提供を求める要請書を、本日、水産庁および防衛庁にあてて提出した。

http://www.yomiuri.co.jp/national/news/20060726i103.htm より
自衛隊の火炎弾で漁船が避難、兵庫県が抗議
兵庫県香美町沖約１３０キロの日本海で２５日午後３時５５分ごろ、同県香住町漁協所属漁船の乗組員が「近くの海上に航空機が飛来し、直後に海面に５本の水柱が上がるのを目撃した」と香住漁業無線局を通じて県に通報した。
県が周辺で作業中の漁船１０隻を避難させ、水産庁などに確認したところ、航空自衛隊が空対艦ミサイルの性能を実験するためのフレア（火炎弾）を発射させていたと判明。
県は２６日、防衛庁に対し、「致命的な結果につながる可能性も否定できない」として、周辺に船舶が確認される海域で訓練を行わないよう抗議した。
防衛庁によると、航空自衛隊飛行開発実験団（岐阜県）の性能実験で、近くを航行する海上自衛隊の護衛艦が数十メートル先の地点に、敵ミサイルをおびき寄せるおとりの「フレア」を発射したという。
-中略-
漁船は香住町漁協所属の誠竜丸（１９トン、６人乗船）で、「飛行機が爆弾のようなものを投下したと思い、混乱状態になった」と話している。

http://www.sankei.co.jp/news/060726/sha060.htm より
兵庫県の井戸敏三知事は２６日、防衛庁が２５日夕に兵庫県沖の日本海で、十分な事前通知をせずにミサイル性能試験を行い、試験海域にいた地元漁船が恐怖を感じて現場から緊急避難したとして、防衛庁に抗議した。けが人はなかった。
県によると、２５日午後３時５５分ごろ、同県香美町の北方約１３０キロの日本海で、香住町漁協所属の誠竜丸（１９トン、伊藤誠船長、乗組員６人）が漁具の回収作業中、航空機が低空で旋回した後、数キロ先の海面に水柱のようなものが上がったという。
現場は防衛庁が射撃訓練海域として指定。県は会見で「水産庁を通じ防衛庁から訓練を行うとの事前の通知は受けていたが、水柱が立つようなミサイル性能試験は想定していなかった」などと指摘。射撃訓練は、事前通報の上、付近に船舶がいないことを確認しながら行う取り決めになっているという。

…どんなものなのかしらねぇ。で、ポイントなのは、自衛隊の言い訳よ。

http://www.kobe-np.co.jp/kobenews/sg/0000077926.shtml より
事前通告必要ない　防衛庁航空幕僚監部広報室の話
ミサイル発射はなく、あくまで熱源を感知するミサイルの先端部「シーカー」の性能確認試験。事前通告する必要はない。同様の試験は過去にもこの海域で実施している。護衛艦が発射した熱源は着水しても水柱が立つものではなく、熱源が出す煙を誤認された可能性がある。

http://www.yomiuri.co.jp/national/news/20060726i103.htm より
同庁広報課は「ミサイルを発射した訳ではなく、事前通知の必要はなかった。漁船からは２０〜３０キロ離れており、危険はなかった」としている。

http://www.sankei.co.jp/news/060726/sha060.htm より
防衛庁によると、当時はＦ４戦闘機による護衛艦へのミサイル攻撃の訓練をしていた。戦闘機が放つ空対艦ミサイルをだますための熱源（フレア）を、護衛艦から１０発発射したが、戦闘機はミサイルを発射していないという。
また、漁船は訓練海域外にいたと説明。漁船が目撃したとしている「水柱」についても、「護衛艦が発射した熱源は着水しても水柱が立つものではなく、熱源が出す煙を誤認した可能性がある」としており、「試験に問題があったとは考えていない」としている。

http://www.hokkaido-np.co.jp/Php/kiji.php3?&d=20060726&j=0022&k=200607268147 より
困惑広がる防衛庁　通知義務なく「問題ない」　　2006/07/26 17:36
日本海での航空自衛隊の性能試験について兵庫県などから２６日、「事前通知を受けていない」と抗議を受けた防衛庁に困惑が広がっている。ミサイルなどを発射しない試験は自治体などに事前通知する法的義務はなく、問題はないとしている。
過去にも同様の試験を実施したことがあるが、特に騒ぎにはならなかったという。
防衛庁によると、今回の試験は空自戦闘機がミサイルを発射せずに洋上の目標物を捕捉、追尾するもので、海上自衛隊の護衛艦が赤外線誘導ミサイルを妨害する熱源（フレア）を発射したものの、周辺に危険はないとされる。
こうした試験は自治体などに通知する必要はないが、２４日にこの訓練海域で同艦が射撃訓練を実施したため、２４−２５日は航行警報を出していた。

そうねぇ。もちろん「状況がよくわかっている人間にとって最終的に"問題ない"ことがわかっている」っていうのは、ある程度重要なことなの。それは「状況がわかる人間からして"問題がある"状況」と比較して、のお話なんですけれども。
さて。ここで問題よ。広報とか告知とか伝達とか連絡とかってモノは、いったい何のためにあるものなのかしら？

例えば。あたしの目の前に目を血走らせた男がいるとするわ。もちろんあたしの事をとても熱い眼差しで見ているの。
でも、もし情報がそれだけだとしたら。そこから先にいったいなにが待ち受けているかなんてわからなくってよ？ いいえ、状況次第では、いくらでも怖い想像をしてしまうわ？

識るっていうことは、そのために必要な情報を相手に正しく*1伝達するっていうことは、とても大切なことなの。ましてや「勘違いされやすい」状況においてはなおのことの。「李下に冠を正さず」っての、ご存知ないのかしら？

このお話がどうシステムに絡むか、っていうのは、自分で考えてみてね？
あたしは「誰にでもわかるように噛み砕く」なんて優しくて甘い女じゃないんですもの。
あら？ 「言ってる事とやってる事が違う」ですって？ いいえそんなことはなくってよ？
あたしがわざわざ「全部は言わない」「皮肉たっぷりにモノを言う」理由をきちんと考えてみて頂戴？ そこが思いつかないようなら…そんな乳臭い男になんて興味ないわ。小学校あたりからやり直したほうがよろしいんじゃなくってかしら？