ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚

最初に。最近、パスワードを読めないようにする処理をしないなど、うわべは動いているけど、セキュリティ的には無知な人が作ったとしか思えないようなシステムが名の知れたサービスとかも含め、多数存在しています。安かろう悪かろうの乱造プログラムハウスが蔓延しているみたいです。
　セキュリティは難しい物で、漏洩するのは仕方がありませんが、漏洩したときの被害が尋常じゃないクラスの手抜きセキュリティサービスが本当に増えています。注意一秒ケガ一生。くれぐれも、自衛は忘れずに。パスワードはパスワード管理ソフトを使い、サイト事に変更するクセを付けましょう。(パスワード管理ソフトの自動更新はOFFにして、手動で更新しましょう)

パスワードを暗号化する機能は、低レベルの物であればOSに備わっていますし、たいていの開発環境にはMD-5やSHA-1などとよばれる暗号化関数が入っています。

こういった機能はUNIXが出来た当初から有り、少なくとも１５年前にはありました。使い方も非常に簡単で、１行変更を加えるだけです。書き込み時と比較時に加えるので、少なく見積もると２行でしょうか？

ちなみに、１５年前からあるということで、わかるとおり、パスワードを暗号化する。というのは常識的かつ、古典的機能です。漏洩対策だけではなく、管理者など内部の人間がお客様のパスワードを盗まないためという内部防衛の意味もあります。

たった５分かそこらの対処がナゼできないのか？知らないからでしょう。素人にプログラムを頼むから、素人が見るとＯＫでもプロが見るとこういう穴があるシステムができあがるんです。

ナチュラムの被害者の方は、きちんと、損害賠償を求めて、今後、こういう事が起きないような懲罰的な判決を勝ち取ってくれることを期待します。漏洩するのは仕方がないし、セキュリティに穴があるのも仕方がないと思います。しかし、パスワードが暗号化（正確にはダイジェスト化（複合できてはならない物なので暗号化ではない））されていないというのは、業界マナー的に非常識きわまりない。

はっきりいわせてください。プログラムやシステム構築を商人に頼むのは辞めて下さい。職人に頼んで下さい。

はっきりいわせてください。プログラムやシステム構築をバイトに頼むのは辞めて下さい。プロに頼んで下さい。

こういう常識的なことが、なされるならば、別に商人でも、バイトでもなんでもいいとおもいます。

しかし、こういう常識的なことがなされず、知らないという、たったそれだけのことにより、被害を拡大させ、社会的な不安を巻き起こすのは辞めて下さい。

商人はシステムの事なんてしりません。餅は餅屋です。パッケージ売りなら、商人でもＯＫです。オーダーメードを商人に頼むなんて！。考え直して下さい。プログラムのことはプログラマーに聞いて下さい。

バイトは、経験が浅いのでうわべのことは出来ます。しかし、深く掘り下げるのはあくまでも経験です。バイトは、製造業側が、あふれた簡単な作業を振るために雇う物です。お客さんが直接やとってはいけません。

別に、弊社や僕の周りに頼めという事ではありません。お好きな、ソフトウェアーベンダーをお選び下さい。

ただ、本当に、こういう安かろう・悪かろうのソフトウェアーベンダーを選んだり、知識がないまま、内部制作とか、そういうのは、本当に辞めて下さい。みんなが、迷惑するんです。よろしくお願い致します。

This entry was posted on 水曜日, 8月 13th, 2008 at 2:24 AM and is filed under プログラム. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.