筑波山梅まつり公式Webサイトで面倒な問題を発見した
2008年1月より運用されている筑波山梅まつりの開花情報やパンフレットを配布している筑波山梅まつり公式サイト。
シーズンになると公式サイトが重い。それだけ情報を必要としている人がいるってことなのかもしれない。
おそらく、公式サイトが重い原因のひとつとして、負荷対策をしていないWordPressを利用しているのかもしれない。
そんなことはどーだっていいのだ。サイトが重いことより面倒な問題に気がついた。
もしかすると、あの方を怒らすことになるかもしれない。
追記2/27:Ktai styleの作者によると、電話で報告して直してもらうことが決まったそうな。 http://www.yuriko.net/arc/2009/02/26/tkb/
追記:2/28 エントリーの後半を消しました。
つくば梅まつり公式サイト:http://www.umematsuri.jp/
筑波山梅まつり公式Webサイトで面倒な問題を発見した関連記事
- 茨城の観光スポット筑波山で梅祭りが開催中 1502PV
- 甘酒がうまい!第36回筑波山梅祭り 1373PV
- 梅昆布茶がうまい!第37回 筑波山梅まつり 2735PV
- WordPressのプラグインでRSSフィードの購読者数を表示しました 1757PV
- Topsy Retweet Buttonを設置しました 2742PV
- SeesaaからWordPressに移行しました 1185PV
- 水戸の梅祭り@偕楽園に行ってきた 926PV
- 2010年2月から5月までのイベントまとめ 3567PV
次のエントリー:つくば市の次は河内、利根でパスポートがとれるようになるみたい
2月 26th, 2009 at 9:16 AM
>波山梅まつり公式Webサイトの管理者への連絡先が掲載されていなかったので、公開したい。
今回の場合、まつりの事務局は存在するはずですから、そこに電話するとかの手段も取れるかと思います (つくば市観光協会 029-869-8333)。まったく身元不詳の団体のサイトならともかく、まつりの主催者は明確なので「連絡先が分からないから広く公開」というのは、あまり好ましいと思えません。
そこに上がってない事例のうち、北海道学生サッカー連盟は、北海道学生サッカー連盟の理事長さんにメールするという手段まで使っています。コトがコトだけに、あらゆる手段を駆使して相手にコンタクトを取ることを試みましょうよ。
Mobile Eye+ の脆弱性を突く攻撃コードは、わたしが知る限り広くは出回っていません。しかし、こっそり作っている人はいるかもしれません (脆弱性の発見者として、わたしが実証コードを作る予定はあります)。XSS 脆弱性単体ではサイトをいじるのは困難ですが、管理者権限を得るための手段として使えます。
なお、WordPress のバージョンが見えていること自体は、必ずしも脆弱ではありません。ひょっとすると独自に対策されたバージョンを使っている可能性はあります (今回の事例では、その可能性は低いですが)。バージョン番号だけ見て批判するのは、やめましょう。
セキュリティーに関する指摘をするならば、もうちょっと勉強されることをおすすめします。
2月 27th, 2009 at 12:56 AM
まさかゆりこっさんが本当に来てくれるとは思ってもいませんでした。
「いらっしゃいませ」
>>セキュリティーに関する指摘をするならば、もうちょっと勉強されることをおすすめします。
おしゃるとおりだと思います。
>>今回の場合、まつりの事務局は存在するはずです
観光協会が運営しているとはどこにも記載されていませんでした。
観光協会からのリンクがあるだけです。
ちなみに、このwebサイトでは、民間企業へのリンクがあります。
あとは、つくば市民の方に続きをやってもらう予定なので、私の役目は終わりです。
土浦相撲連盟 http://www.t-sumo.jp/
つくば観光協会 http://www.kanko-tkb.net/
筑波山梅まつり http://www.umematsuri.jp/
はすべて同じ業者っぽい http://www.adad.be/
業者=筑波山梅まつりの投稿者のアカウント。
他にも同じ業者によるものがたくさんあり、
つくばフィルムコミッション http://www.tfcr.jp/ エッチな画像変換がオン。
青木屋 http://www.aokiya-hotel.com/ (筑波山梅まつりの事象と同様)
つくば市議会議員いがらし立青(たつお)の活動日記 http://www.tatsuo21.net/weblog/ (筑波山梅まつりの事象と同様)
お~い!西富 http://www.nishitomi.net/ (筑波山梅まつりの事象と同様)
KCJテニスアカデミー http://www.kcjta.com/ (筑波山梅まつりの事象と同様)
などなど。
2月 27th, 2009 at 1:30 PM
残念ながらダウトです。
「資料のダウンロード」では PDF でパンフレットが入手できますが、そこにきちんと書いてあります。「主催: つくば観光協会、つくば市」で、お問い合わせ先として、(社)つくば観光協会 TEL. 029-869-8333 とあります。
http://www.umematsuri.jp/wordpress/wp-content/uploads/uploader/20090220_222442.pdf
ウェブサイト自体に書かず、PDF のパンフレットだけに書いてあるのは片手落ちですが、これだけのイベントで主催者が不詳ということはあり得ないので、調べれば分かると思いますよ。最悪、つくば市に聞けばいいのですし。
もし、つくば市に聞いて、梅まつりの主催者が不明となれば、「そんな主催者不明のイベントを放置していいのか」と突っ込んで、調査してもらうという手があるでしょう。
そんないい加減なことは、やめてください。不具合を見つけて世界中に紹介するならば自身の責任でもって、直接報告して解決をはかるべきです。そうしないのなら、ウェブに書いてはいけません。単に「このサイトが脆弱だ」と書くだけならスクリプトキディーと同等です。
わたしの活動は、「WordPress ウェブログのセキュリティー向上」にあるため、きちんと相手に報告することは、漏れなく行なっています。相手によっては無視されることもありますが、それは仕方ないと思っています。
あと、わたしは川崎市民であって、つくばとは何の縁もありません。つくば方面でセキュリティーというと高木浩光さんが有名ですが、Mobile Eye+ の案件は、高木さんの興味分野とはちょっと違うと思いますので、続きをやって頂くのは無理がある気がします。
なお、業者さんの名誉のために書いておきますが、業者自身が Mobile Eye+ を設置された場合は (過去の事例含めて) URLGATE はオフで設定されているとの報告を受けています。URLGATE オンになっているのは「発注側が勝手に Mobile Eye+ を設置した」場合だということです。
どうしても業者を批判するならば、「PHP4 しか使えないサーバーを使っている時点でダメ」とか「Mobile Eye+ じゃなくて Ktai Style とか MobilePressNEO を入れてしまえば、こんな問題は起きないのに、そうしないのは情けない」という方向だとスジが通ると思います。
2月 28th, 2009 at 2:45 PM
>>つくば市に聞いて、梅まつりの主催者が不明となれば
まつりの主催者情報は分かっていても、まつりのサイトの運営者がどこか分かりません。
まぁこれもつくば市に聞けば一発で解決すると思いますけどね。
このパンフレットは、観光協会(kanko-tkb.net)やサイドバーの行楽関係>ドライブつくばとリンクが貼られているところからも
直リンクでパンフレットのDL先になっていますね。
これもまた、観光協会からのリンクがなければ、配布が1次なのか2次なのか分からないかもしれない。
ドメインの所有者に関しても謎があり、
tfcr.jp は つくば市になっていますが、
観光協会(kanko-tkb.net)と梅まつり(umematsuri.jp)のサイトは()や協会ではなく業者になっていたり。