Scribble at 2022-11-01 09:20:23 Last modified: 2022-11-01 09:21:06

添付画像

スイッチサイエンス

Raspberry Pi Zero W を購入したことがあるスイッチサイエンスという会社のサイトで、EC システムを今年の9月20日に更新したという。ログインで使っていたメール・アドレスでアカウントを作成しなおすと、そのメール・アドレス(僕は良くない習慣だと思うが、ログインの ID にもなっている)に紐づいている旧システムの登録情報が引き継がれるらしい。確かに、同じメール・アドレスでアカウントを作り直してログインすると、住所が引き継がれている。

ただ、このシステムはどうも設計の意図が分からない。プロのウェブ・アプリケーションの技術者として言わせてもらうが、アカウント情報、なかんずくパスワードをユーザが自分で変更できないというのは、いったいどこでシステム開発を習った人間が設計・実装したのか。こういう仕様だと、もし情報の漏洩が疑われる場合に自衛の手段がなくなり、なりすましで勝手に誰かに注文され続けてしまうというリスクがある。

ということで、ログイン画面にパスワードを変更するボタンがあるかもしれないと、いったんログアウトしてから再びログインしてみると、上記のような画面になる。なんでも、パスワードが脆弱であるため、再設定のメールを送ったという。これ、言いたいことはわかるけどフィッシングに悪用されるパターンだよな。情報セキュリティの実務家でもある人間から助言するが、こういう EC システムを素性のわからないクラウド・ワーカーや日曜プログラマに片手間で安価に作らせたのかもしれないが、悪いことは言わないから少し予算を割いてまともな(僕に発注すると、たぶん御社には払えない)ベンダーに相談したほうがいいと思う。ひとまずパスワードは32桁にして再設定したが、いくら脆弱だからと言ってロックするのはどうかと思うね。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook