【Peach】プログラミングしてるやつとかSEに聞きたいことあるんだけど【飛行機】

1 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:19:33.094 ID:G0GJHBOT0: メールアドレス入力するとそのまま保存されたパスワードが送られてくる会員サイト（peach）があるんだけど未だにこんな設計許されるもんなん？
ふつうパスワードってハッシュ化して保存するもんじゃないの？
俺の認識違いかプログラマーのお前らに教えて欲しい
https://myaccount.flypeach.com/login?lang=jp
2 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:20:27.350 ID:z3NU1cPu0: 余裕
5 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:21:18.595 ID:G0GJHBOT0: >>2
？
3 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:20:51.330 ID:pUKUagVB0: こっわ
6 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:22:07.472 ID:G0GJHBOT0: >>3
俺のやばいって認識間違ってないよな？
4 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:21:00.795 ID:DRjW2XBo0: ハッキングする価値もないサイトなら別にいいんでね
10 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:24:04.086 ID:G0GJHBOT0: >>4
名前、生年月日、電話番号、住所、パスポート、クレカ情報みれるぞ
もちろんすでに予約とった予約情報もいじれるしな
これマスクどころの騒ぎじゃないと思うんだが
7 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:23:09.030 ID:QbvmHUpK0: その程度のクソ設計はよくある
12 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:25:39.256 ID:G0GJHBOT0: >>7
今のご時世こんな設計しても平気なん？
15 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:26:59.337 ID:dlkz7d86a: >>12
くそフレームワークの流用とか
27 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:34:47.345 ID:G0GJHBOT0: >>15
こんなクソな設計のフレームワークなんて逆にあるん？
21 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:30:52.302 ID:QbvmHUpK0: >>12
平気なわけないんだが客はシステムの中身なんかわからんからな
8 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:23:45.169 ID:CRdkj3/s0: jpcertとipaに報告だ
14 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:26:52.354 ID:G0GJHBOT0: >>8
どうやって報告すんの
ちなみにpeachには数年前に報告したけどガン無視されてる
マスクの件で思い出した
50 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:49:56.714 ID:1nnFshVw0: >>8
あいつら報告してもなにもしないぞ
9 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:23:48.563 ID:dlkz7d86a: ハッシュ化しても八桁だと解析される件
18 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:28:58.004 ID:G0GJHBOT0: >>9
無駄にパスワードの登録自体は8桁以上なんだよな
11 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:25:01.559 ID:uOrLw/6Q0: 通報しろ
19 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:29:43.955 ID:G0GJHBOT0: >>11
ipaに報告すりゃいいの？
13 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:26:16.481 ID:dlkz7d86a: IPアドレスをソースに埋め込んだサイトもあるくらいだし脆弱性あってもよくあることの印象
22 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:30:58.678 ID:G0GJHBOT0: >>13
別にIPアドレスをソースに埋め込んだくらいじゃ個人情報ばれないからそれはよくね？
知らんけど
43 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:46:15.913 ID:CAKopgAK0: >>22
個人をただちに特定することができないというのがミソで
同じIPアドレスを使っていれば同一人物の可能性が非常に高いと判断することしかできないが
玩具にされるには格好の物件になるってとこがこないだの騒動で発覚した
16 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:27:04.803 ID:ceLxUUW30: すげーな
31 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:36:32.255 ID:G0GJHBOT0: >>16
これ個人情報もそうだけど他人の情報で搭乗してハイジャックとかされたら危なくね？
20 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:30:29.211 ID:Ctz9tku50: ヤバすぎ
だけど小規模なサービスとかだとそんなサイト山ほどあるんだろうな
33 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:39:07.488 ID:G0GJHBOT0: >>20
これを航空会社がやっちゃうんだから怖いよな
しかもANAの子会社だぞここ
23 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:31:33.951 ID:+r3pxRT3a: ハッシュ戻せるの？
30 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:35:55.345 ID:QbvmHUpK0: >>23
戻せたら意味ない
戻せないから漏洩してもノーダメ
34 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:39:47.875 ID:G0GJHBOT0: >>23
おそらくハッシュ化すらしてない
24 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:33:47.901 ID:44jO5OI80: 超絶クソだとは思うが、悪用する方法が思い浮かばん。
メアド乗っ取られたときのリスクでかくなるくらいか。
26 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:34:36.653 ID:CRdkj3/s0: >>24
電子メールの送信の仕組みを調べてみれ
37 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:41:23.143 ID:44jO5OI80: >>26
プロトコルによっては平文で送られるってところ？
それはソコソコまともなところでもリセット用のURLが送られてくるのが多いし今更じゃね？
36 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:41:04.214 ID:G0GJHBOT0: >>24
個人情報、カード情報盗み放題じゃん
搭乗券悪用の可能性もでてくるし
39 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:43:28.619 ID:44jO5OI80: >>36
いやメアド乗っ取られてたら何でもそうじゃね？
25 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:33:48.303 ID:G0GJHBOT0: いちおうだけどパスワードのお知らせメールはこんな感じでくる
53 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:52:35.508 ID:q85ItJe20: >>25
このメールどうやったら届くの？
58 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:54:45.453 ID:G0GJHBOT0: >>53
Peachのログインページで「パスワードを忘れた場合」からメールアドレスいれて送信すると届く
https://myaccount.flypeach.com/login?lang=jp
28 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:34:50.304 ID:bQD1IoSF0: パスワード再発行でメールアドレスに送られてくるんだから
すぐに自分でパスワードを変更すればいいんじゃないの？
弱い？
29 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:35:54.441 ID:44jO5OI80: ああ、DB触れる立場の内部に悪意があるやついたらやばいか。
サーバー運用なんてみんな底辺派遣だろうしな
35 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:40:03.781 ID:CRdkj3/s0: というかパスワードそのものを保存している時点でアウト
49 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:48:52.242 ID:44jO5OI80: >>35
それはどうだべか。
天下のマイクロソフトのActive DirectoryのDB見たらパスワードをbase 64エンコードしたものが入ってたよ。
まあadサーバ覗ける時点で何でも出来ちゃうからね。
38 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:41:45.773 ID:4QwSwUUB0: ソルト入れてストレッチングするのはさすがに常識だろ
40 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:43:46.214 ID:P8M9gqa60: docomoの話してる？
41 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:45:06.412 ID:sBMC36Ir0: 日本企業のセキュリティーはジョーク
何をやらかしても裁判になれば100％企業が勝つんだからだれも金かけない
42 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:45:59.638 ID:b/E4LWhR0: ハッシュ化して保存するのはサーバ上の話で入力用のパスワードは平文じゃね
で、おそらく最初のパスワードは変えること推奨されてると思うしサーバ上にはログ等管理者が確認できる情報としては持ってないと思われる
44 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:46:46.397 ID:N3dZU8pva: アウトオブアウト
メールに書いて届く時点で緩々設計
46 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:47:41.107 ID:bQD1IoSF0: 知ってるアドレス突っ込んで嫌がらせ出来るってことか？
普通にやったらすぐバレて捕まりそうだけど
47 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:47:49.588 ID:fArpWaIe0: 暗号化してないシステムなんてごまんとある
48 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:47:52.508 ID:XrSE0GEU0: さすがピーチ
51 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:51:38.450 ID:CAKopgAK0: 4chanに報告すれば？
IT系の板あるか知らんが
52 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:52:17.236 ID:b/E4LWhR0: ああ
パスワード忘れたからとメアド入力すると自分が設定した認証用のパスワードがそのままメールで送られてくるってことか
それはパスワード平文で保存してそうでやばいな
56 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:53:31.342 ID:44jO5OI80: >>52
してそうじゃなくてしてないとそうはならんやろ……
60 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:55:28.968 ID:mfq3Kxrn0: >>56
復元可能な暗号化を施して保存してる可能性も無きにしもあらずじゃね
63 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:57:24.162 ID:44jO5OI80: >>60
あ、たし蟹。
62 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:56:00.405 ID:b/E4LWhR0: >>56
してそうっていうのはハッシュ化ではなくて復号可能な暗号化している可能性もあるって意味だよ
もちろんそれもよくはないけど
57 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:54:12.188 ID:bQD1IoSF0: >>52
新しいグチャグチャな文字列が設定されて送られてくるだろ？
61 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:55:39.550 ID:G0GJHBOT0: >>57
ワンタイムパスとかじゃなくて前に設定したパスワードが送られてくるんだよなぁ・・・
55 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:53:23.232 ID:G0GJHBOT0: とりあえずIPAには届けといた
59 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:55:18.006 ID:CAKopgAK0: 関わったシステムでパスワード平文で保存されてたことあったけど
結合テスト用の設定でそうなってるものだとばかりおもってた
64 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:58:20.160 ID:Alkke3DG0: やってみたけど文字の羅列が送られてきただけだわ
たまたまパスワードと同じ文字列だった可能性とかないの？
65 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 20:59:49.952 ID:bQD1IoSF0: >>64
これしかないじゃん
当たり前じゃん
67 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:01:05.495 ID:44jO5OI80: >>64
ハハアン。運用途中でこりゃヤバいってなって途中からハッシュに変更したな？
で過去のレコードは放置して条件分岐してるな？
69 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:02:47.964 ID:b/E4LWhR0: >>67
条件分岐の理由が無いのが謎だな
再発行であれば既存パスワードなんて捨ててしまって構わないのだから分岐する必要がない
70 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:05:22.496 ID:44jO5OI80: >>69
それもそうか。余計な労力かけたくないもんな。
でもそれ以前にもパスワードを忘れたときのロジックが用意されてたはずで既存のロジックに手を加えたくなかった……とかは？
75 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:09:22.620 ID:b/E4LWhR0: >>70
ありえるし、顧客の要望に押された可能性もありそう
怖E
81 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:14:28.908 ID:c6otWXqH0: >>75
前俺の仕事でそう言う要望あったな
困惑
72 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:05:55.654 ID:G0GJHBOT0: >>64
文字の羅列？
設定したパスワードじゃなくてランダムなパスワードが送られきたってこと？
68 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:01:31.381 ID:CRdkj3/s0: Togetterに報告だ
71 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:05:48.651 ID:c6otWXqH0: 昔はよくあったな
73 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:07:31.821 ID:q85ItJe20: 俺はついさっき登録したばっかりだが
パスワードがそのまま書かれたメールが飛んできたぞ
74 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:09:11.173 ID:pET37O/Ad: パスワードが届くのと
パスワード変更URLが届くの
大差なくね？
77 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:12:06.494 ID:q85ItJe20: >>74
パスワード変更urlは一回限り有効で時間が経つと無効になる
パスワードが書かれたメールは宛先メールアドレスとセットで残り続ける
83 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:16:02.845 ID:pET37O/Ad: >>77
メールが盗聴されるケースを考えると
大差ない気がする
どっちにしろアカウント乗っ取られね？
82 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:15:51.007 ID:44jO5OI80: >>74
うん、大差ないよ。
76 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:10:10.292 ID:aqaJm/je0: 具体的にどうなるの？
78 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:13:08.798 ID:oblHjq6UM: あれ書けない？
85 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:17:39.659 ID:2GAqNpcq0: >>1それだけでは「パスワードが平文のまま保存されている」と決まったわけではないな。
依って、認識違いである可能性がある。
86 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:18:33.449 ID:pET37O/Ad: 他のサービスとパスワード使い回しているケースで
他のサービスも乗っ取ららることは考えられるか
87 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:19:42.897 ID:GrQMS3Az0: 大丈夫だよ
糞みたいなフリーメール使ってなきゃ
メールでの通信そのもののセキュリティリスクが低くなってるから
89 名前:ひみつの名無しさん投稿日時:2020/09/15(火) 21:21:02.606 ID:oblHjq6UM: メール送信元
mail.booksecure.net（66.35.82.50）なんだけどこれどこの会社だろ