筑波山梅まつり公式Webサイトで面倒な問題を発見した へのコメント http://blog.ibaragi-ibaraki.com/entry_847.html 茨城に住む男のブログは 茨城県南のつくば 守谷 牛久 土浦 阿見を中心にニュースを配信するブログ Wed, 08 Feb 2012 02:46:15 +0000 hourly 1 http://wordpress.org/?v=3.2 おみたこ より http://blog.ibaragi-ibaraki.com/entry_847.html/comment-page-1#comment-394 おみたこ Sat, 28 Feb 2009 05:45:13 +0000 http://blog.ibaragi-ibaraki.com/?p=847#comment-394 >>つくば市に聞いて、梅まつりの主催者が不明となれば まつりの主催者情報は分かっていても、まつりのサイトの運営者がどこか分かりません。 まぁこれもつくば市に聞けば一発で解決すると思いますけどね。 このパンフレットは、観光協会(kanko-tkb.net)やサイドバーの行楽関係>ドライブつくばとリンクが貼られているところからも 直リンクでパンフレットのDL先になっていますね。 これもまた、観光協会からのリンクがなければ、配布が1次なのか2次なのか分からないかもしれない。 ドメインの所有者に関しても謎があり、 tfcr.jp は つくば市になっていますが、 観光協会(kanko-tkb.net)と梅まつり(umematsuri.jp)のサイトは()や協会ではなく業者になっていたり。 >>つくば市に聞いて、梅まつりの主催者が不明となれば
まつりの主催者情報は分かっていても、まつりのサイトの運営者がどこか分かりません。
まぁこれもつくば市に聞けば一発で解決すると思いますけどね。

このパンフレットは、観光協会(kanko-tkb.net)やサイドバーの行楽関係>ドライブつくばとリンクが貼られているところからも
直リンクでパンフレットのDL先になっていますね。
これもまた、観光協会からのリンクがなければ、配布が1次なのか2次なのか分からないかもしれない。
ドメインの所有者に関しても謎があり、
tfcr.jp は つくば市になっていますが、
観光協会(kanko-tkb.net)と梅まつり(umematsuri.jp)のサイトは()や協会ではなく業者になっていたり。

]]> ゆりこ@プラグイン作者 より http://blog.ibaragi-ibaraki.com/entry_847.html/comment-page-1#comment-392 ゆりこ@プラグイン作者 Fri, 27 Feb 2009 04:30:55 +0000 http://blog.ibaragi-ibaraki.com/?p=847#comment-392 <blockquote>観光協会が運営しているとはどこにも記載されていませんでした。 </blockquote> 残念ながらダウトです。 「資料のダウンロード」では PDF でパンフレットが入手できますが、そこにきちんと書いてあります。「主催: つくば観光協会、つくば市」で、お問い合わせ先として、(社)つくば観光協会 TEL. 029-869-8333 とあります。 http://www.umematsuri.jp/wordpress/wp-content/uploads/uploader/20090220_222442.pdf ウェブサイト自体に書かず、PDF のパンフレットだけに書いてあるのは片手落ちですが、これだけのイベントで主催者が不詳ということはあり得ないので、調べれば分かると思いますよ。最悪、つくば市に聞けばいいのですし。 もし、つくば市に聞いて、梅まつりの主催者が不明となれば、「そんな主催者不明のイベントを放置していいのか」と突っ込んで、調査してもらうという手があるでしょう。 <blockquote>あとは、つくば市民の方に続きをやってもらう予定なので、私の役目は終わりです。</blockquote> そんないい加減なことは、やめてください。不具合を見つけて世界中に紹介するならば自身の責任でもって、直接報告して解決をはかるべきです。そうしないのなら、ウェブに書いてはいけません。単に「このサイトが脆弱だ」と書くだけならスクリプトキディーと同等です。 わたしの活動は、「WordPress ウェブログのセキュリティー向上」にあるため、きちんと相手に報告することは、漏れなく行なっています。相手によっては無視されることもありますが、それは仕方ないと思っています。 あと、わたしは川崎市民であって、つくばとは何の縁もありません。つくば方面でセキュリティーというと<a href="http://takagi-hiromitsu.jp/diary/" rel="nofollow">高木浩光さん</a>が有名ですが、Mobile Eye+ の案件は、高木さんの興味分野とはちょっと違うと思いますので、続きをやって頂くのは無理がある気がします。 なお、業者さんの名誉のために書いておきますが、業者自身が Mobile Eye+ を設置された場合は (過去の事例含めて) URLGATE はオフで設定されているとの報告を受けています。URLGATE オンになっているのは「発注側が勝手に Mobile Eye+ を設置した」場合だということです。 どうしても業者を批判するならば、「PHP4 しか使えないサーバーを使っている時点でダメ」とか「Mobile Eye+ じゃなくて Ktai Style とか MobilePressNEO を入れてしまえば、こんな問題は起きないのに、そうしないのは情けない」という方向だとスジが通ると思います。

観光協会が運営しているとはどこにも記載されていませんでした。

残念ながらダウトです。

「資料のダウンロード」では PDF でパンフレットが入手できますが、そこにきちんと書いてあります。「主催: つくば観光協会、つくば市」で、お問い合わせ先として、(社)つくば観光協会 TEL. 029-869-8333 とあります。
http://www.umematsuri.jp/wordpress/wp-content/uploads/uploader/20090220_222442.pdf

ウェブサイト自体に書かず、PDF のパンフレットだけに書いてあるのは片手落ちですが、これだけのイベントで主催者が不詳ということはあり得ないので、調べれば分かると思いますよ。最悪、つくば市に聞けばいいのですし。
もし、つくば市に聞いて、梅まつりの主催者が不明となれば、「そんな主催者不明のイベントを放置していいのか」と突っ込んで、調査してもらうという手があるでしょう。

あとは、つくば市民の方に続きをやってもらう予定なので、私の役目は終わりです。

そんないい加減なことは、やめてください。不具合を見つけて世界中に紹介するならば自身の責任でもって、直接報告して解決をはかるべきです。そうしないのなら、ウェブに書いてはいけません。単に「このサイトが脆弱だ」と書くだけならスクリプトキディーと同等です。

わたしの活動は、「WordPress ウェブログのセキュリティー向上」にあるため、きちんと相手に報告することは、漏れなく行なっています。相手によっては無視されることもありますが、それは仕方ないと思っています。

あと、わたしは川崎市民であって、つくばとは何の縁もありません。つくば方面でセキュリティーというと高木浩光さんが有名ですが、Mobile Eye+ の案件は、高木さんの興味分野とはちょっと違うと思いますので、続きをやって頂くのは無理がある気がします。

なお、業者さんの名誉のために書いておきますが、業者自身が Mobile Eye+ を設置された場合は (過去の事例含めて) URLGATE はオフで設定されているとの報告を受けています。URLGATE オンになっているのは「発注側が勝手に Mobile Eye+ を設置した」場合だということです。

どうしても業者を批判するならば、「PHP4 しか使えないサーバーを使っている時点でダメ」とか「Mobile Eye+ じゃなくて Ktai Style とか MobilePressNEO を入れてしまえば、こんな問題は起きないのに、そうしないのは情けない」という方向だとスジが通ると思います。

]]> おみたこ より http://blog.ibaragi-ibaraki.com/entry_847.html/comment-page-1#comment-391 おみたこ Thu, 26 Feb 2009 15:56:07 +0000 http://blog.ibaragi-ibaraki.com/?p=847#comment-391 まさかゆりこっさんが本当に来てくれるとは思ってもいませんでした。 「いらっしゃいませ」 >>セキュリティーに関する指摘をするならば、もうちょっと勉強されることをおすすめします。 おしゃるとおりだと思います。 >>今回の場合、まつりの事務局は存在するはずです 観光協会が運営しているとはどこにも記載されていませんでした。 観光協会からのリンクがあるだけです。 ちなみに、このwebサイトでは、民間企業へのリンクがあります。 あとは、つくば市民の方に続きをやってもらう予定なので、私の役目は終わりです。 土浦相撲連盟 http://www.t-sumo.jp/ つくば観光協会 http://www.kanko-tkb.net/ 筑波山梅まつり http://www.umematsuri.jp/ はすべて同じ業者っぽい http://www.adad.be/ <strong>業者=筑波山梅まつりの投稿者のアカウント</strong>。 他にも同じ業者によるものがたくさんあり、 <strong>つくばフィルムコミッション</strong> http://www.tfcr.jp/ エッチな画像変換がオン。 青木屋 http://www.aokiya-hotel.com/ (筑波山梅まつりの事象と同様) <strong>つくば市議会議員いがらし立青(たつお)の活動日記</strong> http://www.tatsuo21.net/weblog/ (筑波山梅まつりの事象と同様) お~い!西富 http://www.nishitomi.net/ (筑波山梅まつりの事象と同様) KCJテニスアカデミー http://www.kcjta.com/ (筑波山梅まつりの事象と同様) などなど。 まさかゆりこっさんが本当に来てくれるとは思ってもいませんでした。
「いらっしゃいませ」

>>セキュリティーに関する指摘をするならば、もうちょっと勉強されることをおすすめします。
おしゃるとおりだと思います。

>>今回の場合、まつりの事務局は存在するはずです
観光協会が運営しているとはどこにも記載されていませんでした。
観光協会からのリンクがあるだけです。

ちなみに、このwebサイトでは、民間企業へのリンクがあります。

あとは、つくば市民の方に続きをやってもらう予定なので、私の役目は終わりです。
土浦相撲連盟 http://www.t-sumo.jp/
つくば観光協会 http://www.kanko-tkb.net/
筑波山梅まつり http://www.umematsuri.jp/
はすべて同じ業者っぽい http://www.adad.be/

業者=筑波山梅まつりの投稿者のアカウント

他にも同じ業者によるものがたくさんあり、
つくばフィルムコミッション http://www.tfcr.jp/ エッチな画像変換がオン。

青木屋 http://www.aokiya-hotel.com/ (筑波山梅まつりの事象と同様)
つくば市議会議員いがらし立青(たつお)の活動日記 http://www.tatsuo21.net/weblog/ (筑波山梅まつりの事象と同様)
お~い!西富 http://www.nishitomi.net/ (筑波山梅まつりの事象と同様)
KCJテニスアカデミー http://www.kcjta.com/ (筑波山梅まつりの事象と同様)

などなど。

]]> Yuriko.Net » つくば観光協会に電話した より http://blog.ibaragi-ibaraki.com/entry_847.html/comment-page-1#comment-390 Yuriko.Net » つくば観光協会に電話した Thu, 26 Feb 2009 01:23:45 +0000 http://blog.ibaragi-ibaraki.com/?p=847#comment-390 [...] 「つくば方面で素の Mobile Eye+ を使っているサイトがある」という報告を発見したのですが、執筆者は「サイト運営者に連絡していない」ようでした。「それはあかんやろ」と思ったので [...] [...] 「つくば方面で素の Mobile Eye+ を使っているサイトがある」という報告を発見したのですが、執筆者は「サイト運営者に連絡していない」ようでした。「それはあかんやろ」と思ったので [...]

]]> ゆりこ@プラグイン作者 より http://blog.ibaragi-ibaraki.com/entry_847.html/comment-page-1#comment-389 ゆりこ@プラグイン作者 Thu, 26 Feb 2009 00:16:14 +0000 http://blog.ibaragi-ibaraki.com/?p=847#comment-389 >波山梅まつり公式Webサイトの管理者への連絡先が掲載されていなかったので、公開したい。 今回の場合、まつりの事務局は存在するはずですから、そこに電話するとかの手段も取れるかと思います (つくば市観光協会 029-869-8333)。まったく身元不詳の団体のサイトならともかく、まつりの主催者は明確なので「連絡先が分からないから広く公開」というのは、あまり好ましいと思えません。 そこに上がってない事例のうち、北海道学生サッカー連盟は、<a href="http://www.yuriko.net/arc/2008/05/29/jufa-h-reply/" rel="nofollow">北海道学生サッカー連盟の理事長さんにメールする</a>という手段まで使っています。コトがコトだけに、あらゆる手段を駆使して相手にコンタクトを取ることを試みましょうよ。 Mobile Eye+ の脆弱性を突く攻撃コードは、わたしが知る限り広くは出回っていません。しかし、こっそり作っている人はいるかもしれません (脆弱性の発見者として、わたしが実証コードを作る予定はあります)。XSS 脆弱性単体ではサイトをいじるのは困難ですが、管理者権限を得るための手段として使えます。 なお、WordPress のバージョンが見えていること自体は、必ずしも脆弱ではありません。ひょっとすると独自に対策されたバージョンを使っている可能性はあります (今回の事例では、その可能性は低いですが)。バージョン番号だけ見て批判するのは、やめましょう。 セキュリティーに関する指摘をするならば、もうちょっと勉強されることをおすすめします。 >波山梅まつり公式Webサイトの管理者への連絡先が掲載されていなかったので、公開したい。

今回の場合、まつりの事務局は存在するはずですから、そこに電話するとかの手段も取れるかと思います (つくば市観光協会 029-869-8333)。まったく身元不詳の団体のサイトならともかく、まつりの主催者は明確なので「連絡先が分からないから広く公開」というのは、あまり好ましいと思えません。

そこに上がってない事例のうち、北海道学生サッカー連盟は、北海道学生サッカー連盟の理事長さんにメールするという手段まで使っています。コトがコトだけに、あらゆる手段を駆使して相手にコンタクトを取ることを試みましょうよ。

Mobile Eye+ の脆弱性を突く攻撃コードは、わたしが知る限り広くは出回っていません。しかし、こっそり作っている人はいるかもしれません (脆弱性の発見者として、わたしが実証コードを作る予定はあります)。XSS 脆弱性単体ではサイトをいじるのは困難ですが、管理者権限を得るための手段として使えます。

なお、WordPress のバージョンが見えていること自体は、必ずしも脆弱ではありません。ひょっとすると独自に対策されたバージョンを使っている可能性はあります (今回の事例では、その可能性は低いですが)。バージョン番号だけ見て批判するのは、やめましょう。

セキュリティーに関する指摘をするならば、もうちょっと勉強されることをおすすめします。

]]>