【Peach】プログラミングしてるやつとかSEに聞きたいことあるんだけど【飛行機】

1 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:19:33.094 ID:G0GJHBOT0
メールアドレス入力するとそのまま保存されたパスワードが送られてくる会員サイト(peach)があるんだけど未だにこんな設計許されるもんなん?
ふつうパスワードってハッシュ化して保存するもんじゃないの?
俺の認識違いかプログラマーのお前らに教えて欲しい
https://myaccount.flypeach.com/login?lang=jp
2 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:20:27.350 ID:z3NU1cPu0
余裕
5 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:21:18.595 ID:G0GJHBOT0
>>2
3 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:20:51.330 ID:pUKUagVB0
こっわ
6 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:22:07.472 ID:G0GJHBOT0
>>3
俺のやばいって認識間違ってないよな?
4 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:21:00.795 ID:DRjW2XBo0
ハッキングする価値もないサイトなら別にいいんでね
10 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:24:04.086 ID:G0GJHBOT0
>>4
名前、生年月日、電話番号、住所、パスポート、クレカ情報みれるぞ
もちろんすでに予約とった予約情報もいじれるしな
これマスクどころの騒ぎじゃないと思うんだが
7 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:23:09.030 ID:QbvmHUpK0
その程度のクソ設計はよくある
12 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:25:39.256 ID:G0GJHBOT0
>>7
今のご時世こんな設計しても平気なん?
15 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:26:59.337 ID:dlkz7d86a
>>12
くそフレームワークの流用とか
27 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:34:47.345 ID:G0GJHBOT0
>>15
こんなクソな設計のフレームワークなんて逆にあるん?
21 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:30:52.302 ID:QbvmHUpK0
>>12
平気なわけないんだが客はシステムの中身なんかわからんからな
8 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:23:45.169 ID:CRdkj3/s0
jpcertとipaに報告だ
14 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:26:52.354 ID:G0GJHBOT0
>>8
どうやって報告すんの
ちなみにpeachには数年前に報告したけどガン無視されてる
マスクの件で思い出した
50 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:49:56.714 ID:1nnFshVw0
>>8
あいつら報告してもなにもしないぞ
9 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:23:48.563 ID:dlkz7d86a
ハッシュ化しても八桁だと解析される件
18 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:28:58.004 ID:G0GJHBOT0
>>9
無駄にパスワードの登録自体は8桁以上なんだよな
11 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:25:01.559 ID:uOrLw/6Q0
通報しろ
19 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:29:43.955 ID:G0GJHBOT0
>>11
ipaに報告すりゃいいの?
13 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:26:16.481 ID:dlkz7d86a
IPアドレスをソースに埋め込んだサイトもあるくらいだし脆弱性あってもよくあることの印象
22 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:30:58.678 ID:G0GJHBOT0
>>13
別にIPアドレスをソースに埋め込んだくらいじゃ個人情報ばれないからそれはよくね?
知らんけど
43 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:46:15.913 ID:CAKopgAK0
>>22
個人をただちに特定することができないというのがミソで
同じIPアドレスを使っていれば同一人物の可能性が非常に高いと判断することしかできないが
玩具にされるには格好の物件になるってとこがこないだの騒動で発覚した
16 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:27:04.803 ID:ceLxUUW30
すげーな
31 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:36:32.255 ID:G0GJHBOT0
>>16
これ個人情報もそうだけど他人の情報で搭乗してハイジャックとかされたら危なくね?
20 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:30:29.211 ID:Ctz9tku50
ヤバすぎ
だけど小規模なサービスとかだとそんなサイト山ほどあるんだろうな
33 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:39:07.488 ID:G0GJHBOT0
>>20
これを航空会社がやっちゃうんだから怖いよな
しかもANAの子会社だぞここ
23 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:31:33.951 ID:+r3pxRT3a
ハッシュ戻せるの?
30 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:35:55.345 ID:QbvmHUpK0
>>23
戻せたら意味ない
戻せないから漏洩してもノーダメ
34 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:39:47.875 ID:G0GJHBOT0
>>23
おそらくハッシュ化すらしてない
24 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:33:47.901 ID:44jO5OI80
超絶クソだとは思うが、悪用する方法が思い浮かばん。
メアド乗っ取られたときのリスクでかくなるくらいか。
26 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:34:36.653 ID:CRdkj3/s0
>>24
電子メールの送信の仕組みを調べてみれ
37 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:41:23.143 ID:44jO5OI80
>>26
プロトコルによっては平文で送られるってところ?
それはソコソコまともなところでもリセット用のURLが送られてくるのが多いし今更じゃね?
36 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:41:04.214 ID:G0GJHBOT0
>>24
個人情報、カード情報盗み放題じゃん
搭乗券悪用の可能性もでてくるし
39 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:43:28.619 ID:44jO5OI80
>>36
いやメアド乗っ取られてたら何でもそうじゃね?
25 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:33:48.303 ID:G0GJHBOT0
いちおうだけどパスワードのお知らせメールはこんな感じでくる
レス25番の画像サムネイル
53 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:52:35.508 ID:q85ItJe20
>>25
このメールどうやったら届くの?
58 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:54:45.453 ID:G0GJHBOT0
>>53
Peachのログインページで「パスワードを忘れた場合」からメールアドレスいれて送信すると届く
https://myaccount.flypeach.com/login?lang=jp
28 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:34:50.304 ID:bQD1IoSF0
パスワード再発行でメールアドレスに送られてくるんだから
すぐに自分でパスワードを変更すればいいんじゃないの?
弱い?
29 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:35:54.441 ID:44jO5OI80
ああ、DB触れる立場の内部に悪意があるやついたらやばいか。
サーバー運用なんてみんな底辺派遣だろうしな
35 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:40:03.781 ID:CRdkj3/s0
というかパスワードそのものを保存している時点でアウト
49 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:48:52.242 ID:44jO5OI80
>>35
それはどうだべか。
天下のマイクロソフトのActive DirectoryのDB見たらパスワードをbase 64エンコードしたものが入ってたよ。
まあadサーバ覗ける時点で何でも出来ちゃうからね。
38 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:41:45.773 ID:4QwSwUUB0
ソルト入れてストレッチングするのはさすがに常識だろ
40 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:43:46.214 ID:P8M9gqa60
docomoの話してる?
41 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:45:06.412 ID:sBMC36Ir0
日本企業のセキュリティーはジョーク
何をやらかしても裁判になれば100%企業が勝つんだからだれも金かけない
42 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:45:59.638 ID:b/E4LWhR0
ハッシュ化して保存するのはサーバ上の話で入力用のパスワードは平文じゃね
で、おそらく最初のパスワードは変えること推奨されてると思うしサーバ上にはログ等管理者が確認できる情報としては持ってないと思われる
44 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:46:46.397 ID:N3dZU8pva
アウトオブアウト
メールに書いて届く時点で緩々設計
46 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:47:41.107 ID:bQD1IoSF0
知ってるアドレス突っ込んで嫌がらせ出来るってことか?
普通にやったらすぐバレて捕まりそうだけど
47 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:47:49.588 ID:fArpWaIe0
暗号化してないシステムなんてごまんとある
48 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:47:52.508 ID:XrSE0GEU0
さすがピーチ
51 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:51:38.450 ID:CAKopgAK0
4chanに報告すれば?
IT系の板あるか知らんが
52 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:52:17.236 ID:b/E4LWhR0
ああ
パスワード忘れたからとメアド入力すると自分が設定した認証用のパスワードがそのままメールで送られてくるってことか
それはパスワード平文で保存してそうでやばいな
56 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:53:31.342 ID:44jO5OI80
>>52
してそうじゃなくてしてないとそうはならんやろ……
60 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:55:28.968 ID:mfq3Kxrn0
>>56
復元可能な暗号化を施して保存してる可能性も無きにしもあらずじゃね
63 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:57:24.162 ID:44jO5OI80
>>60
あ、たし蟹。
62 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:56:00.405 ID:b/E4LWhR0
>>56
してそうっていうのはハッシュ化ではなくて復号可能な暗号化している可能性もあるって意味だよ
もちろんそれもよくはないけど
57 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:54:12.188 ID:bQD1IoSF0
>>52
新しいグチャグチャな文字列が設定されて送られてくるだろ?
61 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:55:39.550 ID:G0GJHBOT0
>>57
ワンタイムパスとかじゃなくて前に設定したパスワードが送られてくるんだよなぁ・・・
55 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:53:23.232 ID:G0GJHBOT0
とりあえずIPAには届けといた
レス55番の画像サムネイル
59 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:55:18.006 ID:CAKopgAK0
関わったシステムでパスワード平文で保存されてたことあったけど
結合テスト用の設定でそうなってるものだとばかりおもってた
64 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:58:20.160 ID:Alkke3DG0
やってみたけど文字の羅列が送られてきただけだわ
たまたまパスワードと同じ文字列だった可能性とかないの?
65 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 20:59:49.952 ID:bQD1IoSF0
>>64
これしかないじゃん
当たり前じゃん
67 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:01:05.495 ID:44jO5OI80
>>64
ハハアン。運用途中でこりゃヤバいってなって途中からハッシュに変更したな?
で過去のレコードは放置して条件分岐してるな?
69 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:02:47.964 ID:b/E4LWhR0
>>67
条件分岐の理由が無いのが謎だな
再発行であれば既存パスワードなんて捨ててしまって構わないのだから分岐する必要がない
70 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:05:22.496 ID:44jO5OI80
>>69
それもそうか。余計な労力かけたくないもんな。
でもそれ以前にもパスワードを忘れたときのロジックが用意されてたはずで既存のロジックに手を加えたくなかった……とかは?
75 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:09:22.620 ID:b/E4LWhR0
>>70
ありえるし、顧客の要望に押された可能性もありそう
怖E
81 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:14:28.908 ID:c6otWXqH0
>>75
前俺の仕事でそう言う要望あったな
困惑
72 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:05:55.654 ID:G0GJHBOT0
>>64
文字の羅列?
設定したパスワードじゃなくてランダムなパスワードが送られきたってこと?
68 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:01:31.381 ID:CRdkj3/s0
Togetterに報告だ
71 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:05:48.651 ID:c6otWXqH0
昔はよくあったな
73 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:07:31.821 ID:q85ItJe20
俺はついさっき登録したばっかりだが
パスワードがそのまま書かれたメールが飛んできたぞ
74 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:09:11.173 ID:pET37O/Ad
パスワードが届くのと
パスワード変更URLが届くの
大差なくね?
77 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:12:06.494 ID:q85ItJe20
>>74
パスワード変更urlは一回限り有効で時間が経つと無効になる
パスワードが書かれたメールは宛先メールアドレスとセットで残り続ける
83 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:16:02.845 ID:pET37O/Ad
>>77
メールが盗聴されるケースを考えると
大差ない気がする
どっちにしろアカウント乗っ取られね?
82 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:15:51.007 ID:44jO5OI80
>>74
うん、大差ないよ。
76 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:10:10.292 ID:aqaJm/je0
具体的にどうなるの?
78 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:13:08.798 ID:oblHjq6UM
あれ書けない?
85 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:17:39.659 ID:2GAqNpcq0
>>1それだけでは「パスワードが平文のまま保存されている」と決まったわけではないな。
依って、認識違いである可能性がある。
86 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:18:33.449 ID:pET37O/Ad
他のサービスとパスワード使い回しているケースで
他のサービスも乗っ取ららることは考えられるか
87 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:19:42.897 ID:GrQMS3Az0
大丈夫だよ
糞みたいなフリーメール使ってなきゃ
メールでの通信そのもののセキュリティリスクが低くなってるから
89 名前:ひみつの名無しさん 投稿日時:2020/09/15(火) 21:21:02.606 ID:oblHjq6UM
メール送信元
mail.booksecure.net(66.35.82.50)なんだけどこれどこの会社だろ

コメント

タイトルとURLをコピーしました