RSS | ATOM | SEARCH
脳内アップデート

一定期間更新がないため広告を表示しています

author:スポンサードリンク, category:-,
-, -, pookmark
まだ誤表記は改善されていないみたいだ。
セブンネットショッピング 誤表記 池田ァ!


で、一夜明けて洒落にならない事態が判明したっぽい。

どうやら個人情報流出だけでなく、サーバの中身(ソースコード)まで
見られる状態で放置してたことが、掲示板への書き込みで判明した模様。

しかも書き込みされていたソースコードは
氷山の一角で、まだマシな部分らしい。

少なくとも、本当にヤバイ箇所は掲示板へ
書き込みされていないようだ・・・。

しかしこれは、見る人が見るとサイトの出来不出来や
脆弱性が丸裸になって悪用される可能性があるワケで・・・。

2ちゃんねるセキュリティ板の書き込みによれば、

4 名前:デフォルトの名無しさん[sage] 投稿日:2009/12/17(木) 17:29:31
なんだフロントエンドのスクリプトだけか
こんなの客に見えるページの情報だけだから流出に入らねぇよ

http://pc12.2ch.net/test/read.cgi/tech/1261038005/4

とのことだが・・・。

流出したソースコードにもっと重要な
部分が含まれていたとしたら?

どこまで対処されてるか、公のアナウンスも無い状態で
知識も無い一般人には何が起こっているのか全く見えない。
だから個人でできる具体的な対処法も分からない。

メールや電話による問い合わせもなかなか届かない状態。
こんな状態にも関わらずテレビCMはガンガン流してる。

セブンは問題を隠蔽して被害者を増やしながら、
年末商戦を稼ぐだけ稼いで乗り切るつもりか?

せめてなんらかの釈明や説明は無いのか?

そしてさらに酷い事に、サイトの不具合や脆弱性が掲示板に
書き込まれるとその直後に書き込まれた箇所が修正される始末。

明らかに社員または関係者が掲示板見てます。

そんな中問題の指摘を続けると、セブン側に修正するだけ
修正されて何も問題が無かったことにされかねないので、

現状では不具合が発見されてもそれについての
書き込みはされなくなっており、しかるべき機関に
通報するのが暗黙の了解になっている。

で、今のところ消費者センターやIPAなどの
関係機関に通報はされているんだけれど、
そこからの調査結果がまだ出ていない。

なので一見進展が無いように見えるけど、
実は水面下で事態は進行している。

価格誤表記から始まった祭りは、利用者の
個人情報がGoogleにキャッシュされていた、
という大失態の発見につながった。

そこからサイトの脆弱性発見へと至り、今やセブンネットショッピングが
フィッシングサイトへ変わっているのでは?という不安すらある。

今のところ不確定要素があるので仮定形ばかりの話に
なってしまってるけど、もし情報流出が確定すれば・・・

セブンネットショッピングおわた/(^o^)\
会員登録してた人の個人情報もおわたオワタ\(^o^)/


で、取り敢えずの現状
551 :以下、名無しにかわりましてVIPがお送りします [sage] :2009/12/13(日) 09:54:58.83 ID:zmqPC6vB0
まとめ

■個人情報が流出した人
□セブンアンドワイのネットショップで買い物をした人全員

■流出したもの
□住所・氏名・領収書

■どこに流出したか
□インターネット。Googleのキャッシュなど

■誰が流出させたのか
□セブンアンドワイ。ハッカーが不正アクセスしたとかではなく、セブンアンドワイ自身が自分で公開した

■なぜ流出したのか
□・ CookieのセッションIDの管理に問題があり、サーバー側でセッションIDが破棄された
   直後に再びクライアントから破棄されたはずのセッションIDを用いてサーバーにアクセスすると、
   セッションIDが必要なページ全てにアクセス出来てしまう問題。
  ・ 個人情報が掲載されているページにアクセスするために使っている暗号化されているはずの注文番号が、
   極めて単純な置換しか行われていなかった問題。
  ・ 個人情報が載ったページがGoogleにキャッシュされている問題
  ・ 前述の方法でアクセスした他人のページから、領収書が発行できる問題

■セブンアンドワイはこのことを認識しているのか
□12/13 AM 2:00、12/13 AM 6:00
  の時間に2ちゃんねるで騒がれていた問題について対策が行われた。
  誰かの問い合わせがあったわけではないので、対策ができたのは2ちゃんねるを見ていた社員がいたから
  ゆえにこの流出問題を認識していることになる。
7 名前:以下、名無しにかわりましてVIPがお送りします[sage] 投稿日:2009/12/17(木) 16:03:00.46 ID:qZYATmAx0
1.価格誤表記、お祭りワッショイ
2.クレジット決済されるも未出荷が続く
3.サイトリニューアル直後のクセに在庫未確保
4.フリーダイヤルが実は有料
5.誤標記商品を注文は強制キャンセルとなり、2のやつらに返金は未だない
6.お詫びページがPCホームページに掲載されるも、作り方がむちゃくちゃ、
7.携帯用サイトにはお詫び不掲載、もしもしディスってんですか?
8.「5の人たちには2000円あげるから許して」と発表するも、その方法等詳細不明まま
9.個人情報が素人でも入手可能なザルセキュリティ
10.カスタマーセンターに電凸するも、ほとんど出ない、でんわ でろ
11.文字コードを混在させていたために、サイト文字化け
12.問い合わせメールも返信来ない
13.メール返信来ても自動返信レベル、中身は無いに等しい
14. 初日分の誤表記以外、サイト上でも状況説明一切なし
15.池田 http://www.7netshopping.jp/home/detail/-/accd/2101172764/subno/1
16.注文完了していない物がガンガン決済される、でもマットレスはまだカートに入ったまま
17. セブンアンドワイ時代の利用者へリニューアルの連絡一切せず
18. 注文データの移行はリニューアル二日後から少しずつ実施、ただしリニューアル前の古いデータ
19. 移行された予約注文のうち一部は利用者どころかサポセンでもキャンセル不能に
20.緩衝材を使わないという斬新かつエコ魂あふれる梱包
21.インデックスが閲覧可能
22.古いページの残骸放置
23.XSS対策ゼロ、vipperの遊び場となる
24.社員および家族用のサイトが誰でも閲覧可能、人類皆家族
25.鯖 は 落 と さ な い
26. それでもISO27001認証取得済み
27. セキュリティホールによりソースコード流出、zipでうpされる←New!

おまけ:単一の商品ページにアクセスが集中すると取扱不可になることが田代砲での検証により判明

>27. セキュリティホールによりソースコード流出、zipでうpされる←New!

これを発見してzipでうpした人は何重にも串を刺していたらしい。

つまり不正アクセスの危険性を認識していたと言えるが、
逆に言えば、知識と技術のある人にかかれば簡単に
閲覧・入手できる状態だった、とも言える。

さらにこんなニュースがある↓

【ニュース引用ここから】
多数のバージョンに影響か:
Apache Tomcatに脆弱性
Apache Tomcatに情報漏えいにつながる可能性がある脆弱性が発見された。

[ITmedia]

2009年02月26日 19時02分 更新

 情報処理推進機構(IPA)セキュリティセンターとJPCERT コーディネーションセンターは2月26日、Apache Tomcatに情報漏えいにつながる恐れがある脆弱性が見つかったとして、JVN(Japan Vender Note)に情報を公開した。

 脆弱性が存在するのはAache Tomcat 4.1.32〜4.1.34、5.5.10〜5.5.20で、既にサポート対象外のApache Tomcat 3.x、4.0.x、5.0.x も影響を受ける可能性があるという、Apache Tomcat 6.0.xは影響を受けないことが確認された。

 POSTリクエストされたデータの内容が漏えいする可能性があり、リモートから別のユーザーのリクエストデータに含まれるパスワードやセッションID、ユーザーIDを参照される恐れがある。

 The Apache Software Foundationは、Apache Tomcat 4.1.35以上、5.5.21以上、6.0.0以降の各バージョンで脆弱性に対処済み。ユーザーにアップデートを呼び掛けている。

http://www.itmedia.co.jp/enterprise/articles/0902/26/news100.html
【引用ここまで】

で、セブンネットショッピングではこれの
古いバージョンの物が使われているらしい。

要するに穴だらけでクラックされる可能性が
大きいシステムを使っているということ。

危機意識と危機管理が全くなってないんじゃなかろーか。

これでもし本当にクレジットカードの情報まで流出していたら、
一般人には信販会社に連絡して番号変更して再発行してもらう、

このぐらいしか自衛の手段が無い。

そうして個人が対処したとしても、既にネットに
拡散してしまった住所や氏名の原状回復は望めない。

願わくは被害の出ないことを・・・。

でもそれはそれでセブンの
隠蔽体質が改善されないか・・・。

と思っていたらこんな書き込みがあった↓
153 名前:以下、名無しにかわりましてVIPがお送りします[sage] 投稿日:2009/12/17(木) 19:33:19.93 ID:h6LmD5WR0
最初の誤記騒動のちょっと前くらいの時期に入会登録
放置、使ってなかった
今回の騒動でログインにYahooから入ってみたところ

10年位前にYahooに登録した廃棄済みのメルアドや旧住所で個人情報表記されていた
今Yahooで使っているメルアドや住所表記は全然違う

どういうこと???


▼ 159 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/12/17(木) 19:39:20.82 ID:wZha5h2IO
>>153

うああああああああああ!
超こえええええぁあゃぁ!

▼ 166 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/12/17(木) 19:50:49.99 ID:Imu3bMbsO
>>153が事実ならかなり怖いな

▼ 175 名前:以下、名無しにかわりましてVIPがお送りします[sage] 投稿日:2009/12/17(木) 20:11:50.06 ID:h6LmD5WR0
>>166
間違いないです。キャプしておけば良かった。
昔メインで使っていたプロバイダーのサブアドレスで見間違いとかありえない。
デタラメに直して更新はしたけども・・・。


http://yutori7.2ch.net/test/read.cgi/news4vip/1261033079/153


来年はセブンネットショッピングがこれに載るんじゃないの?

【ニュース引用ここから】
情報漏えい事故のワースト10企業リストを無償公開(ネットセキュリティ総合研究所)
12月16日9時25分配信 Scan

 株式会社ネットセキュリティ総合研究所は12月16日、同社が10月に発売した「日本情報漏えい年鑑2009」を一部抜粋した「日本情報漏えい年鑑2009ダイジェスト版」の配布を開始した。

 「日本情報漏えい年鑑2009」は、2008年に発生した代表的な個人情報漏えい事故120件の発生年月日や漏えい原因、漏えい規模、漏えい元の企業名・組織名を収録した調査レポート。

 今回公開されるダイジェスト版では、2008年2月の情報漏えい事故データ他、2008年に発生した漏えい事故の漏えい人数別上位10件の企業リストやWinnyによる情報漏えい上位10件の企業リストを掲載する。

http://headlines.yahoo.co.jp/hl?a=20091216-00000001-vgb-secu
【引用ここまで】

年末のかき入れ時でサーバを止められなかった、
などという言い訳は子供にすら通用しない。
危険性を知りながら放置した罪は重いぞ。


以下、昨日引用したニュース速報板の続き↓
続きを読む >>
author:wotakkey, category:PC・IT技術関係, 21:29
comments(0), -, pookmark



旧セブンアンドワイ、現セブンネットショッピングで個人情報流出被害発生!
対応は後手後手のうえに杜撰、セキュリティは穴だらけ。


Googleにキャッシュされた個人情報のスクリーンショット。
これは編集済みですが、誰でも閲覧可能な状態でした。

事態は現在進行形。

で、問題発覚(発生ではない)から既に一週間ほど
経っているにも関わらず、一向に解決の目処が立っていない。

しかもこんな大問題なのにニュースサイトは殆どノータッチ。
わずかにまぐまぐニュースが取り上げているのを確認。

まぐまぐニュースで取り上げられた内容。
http://news.mag2.com/archive/20091214100000

記事内容は消えるかもしれないのでスクリーンショットを載せておく。
画像をクリックすると、新しいタブ、またはウィンドウで大きく見られます↓
まぐまぐニュース セブンネットショッピング

で、今のところ他のニュースサイトは
下記のような価格誤表記のみで続報無し↓

【ニュース引用ここから】
ネット通販で価格誤表示 セブン、おわびに2千円
12月10日13時33分配信 産経新聞

 流通大手セブン&アイ・ホールディングスは9日、インターネット通信販売サイト「セブンネットショッピング」で8日未明から朝にかけて、一部の商品のセット価格を、誤って単品価格で表示していたと発表した。

 セブン&アイは、誤表示の時間帯に受け付けた注文は取り消し、注文者におわびとして2000円分の郵便為替を送るとしている。

 誤表示の原因は「商品登録時の人為的なミス」。ビールや飲料などケースに複数本入った商品価格を1本の単価で表示するなどミスがあった。セブン&アイは、「誤表示の商品に対する注文は少なかった」としている。

 セブン&アイでは、10月にもグループ内のイトーヨーカ堂の通販サイトで同様のミスがあったという。セブンネットショッピングは、グループ内のネット通販を統合し、8日から新たに開設した通販サイト。

http://headlines.yahoo.co.jp/hl?a=20091210-00000559-san-bus_all
【引用ここまで】

Yahoo!がセブンネットショッピングと提携してるから、
Yahoo!ニュースには個人情報関係の記事は出ないかもしれないね。

一体何が始まってるんです?って人用まとめ↓
1.価格誤表記、お祭りワッショイ
2.クレジット決済されるも未出荷が続く
3.サイトリニューアル直後のクセに在庫未確保
4.フリーダイヤルが実は有料
5.誤標記商品を注文は強制キャンセルとなり、2のやつらに返金は未だない
6.お詫びページがPCホームページに掲載されるも、作り方がむちゃくちゃ、
7.携帯用サイトにはお詫び不掲載、もしもしディスってんですか?
8.「5の人たちには2000円あげるから許して」と発表するも、その方法等詳細不明まま
9.個人情報が素人でも入手可能なザルセキュリティ
10.カスタマーセンターに電凸するも、ほとんど出ない、でんわ でろ
11.文字コードを混在させていたために、サイト文字化け
12.問い合わせメールも返信来ない
13.メール返信来ても自動返信レベル、中身は無いに等しい
14. 初日分の誤表記以外、サイト上でも状況説明一切なし
15.池田 http://www.7netshopping.jp/home/detail/-/accd/2101172764/subno/1
16.注文完了していない物がガンガン決済される、でもマットレスはまだカートに入ったまま
17. セブンアンドワイ時代の利用者へリニューアルの連絡一切せず
18. 注文データの移行はリニューアル二日後から少しずつ実施、ただしリニューアル前の古いデータ
19. 移行された予約注文のうち一部は利用者どころかサポセンでもキャンセル不能に
20.緩衝材を使わないという斬新かつエコ魂あふれる梱包
21.インデックスが閲覧可能
22.古いページの残骸放置
23.XSS対策ゼロ、vipperの遊び場となる
24.社員および家族用のサイトが誰でも閲覧可能、人類皆家族
25.鯖 は 落 と さ な い
26. それでもISO27001認証取得済み

おまけ:単一の商品ページにアクセスが集中すると取扱不可になることが田代砲での検証により判明

で、色んな情報が出たから、2ちゃんねるを
見ていた社員がある程度対処した模様。

サイト云々の修正したところで、流出した
個人情報が悪用されたら無意味だけどね・・・。

今のところメインで動いてる板はニュー速VIPだけど、
当然他板でもスレが立ってる状態。

栄光のニュー速でもスレが立ってた。

過去形なのは、新展開が無くスレがdat落ち、
その後新スレが立たなかったようなので。

まぁそれはさておき、ν速民の言葉を引用してみよう。

続きを読む >>
author:wotakkey, category:PC・IT技術関係, 20:55
comments(0), -, pookmark
8/25のエントリーでCPU換装とHDD増設したことを書いた。

で、今回はグラフィックボードを交換した。
入れ替え前の構成は以下の通り。

【OS】Windows XP sp3
【マザボード】ASUS P5K-E
【CPU】Intel Q9550S
【CPUクーラー】COOLERMASTER HYPER L3
【メモリ】4G(2G×2)
【ビデオカード】RADEON HD3650(ASUS)
【サウンドカード】ONKYO SE-200PCI LTD
【キャプチャカード】アースソフトPV4
【HDD】300G、640G、300G(10000rpm)、1TB 全てWD製
【電源】ENERMAX 525W
【ケース】サイコム SY-J624 黒銀、サイドファン冷却UNIT付き

ASUS TEK製のRADEON HD3650から
HIS製のHD4670 IceQ(H467QS512P)へと交換。

HIS HD4670のパッケージ↓
HIS HD4670 IceQ
続きを読む >>
author:wotakkey, category:PC・IT技術関係, 09:54
comments(0), -, pookmark
ついにWindows7の予約受付が始まりましたね〜。

XPユーザーの俺は半年〜一年は様子見ですな。

RC版で使い勝手や大方の不具合等は出てるみたいだし、
あとはSP1が出てこなれるのを待つだけだけど。

人柱に期待、ってとこでしょうか。

今んところXPで問題無いし、新OSを導入する
必要性が無かったからVistaはスルーしたし。

問題は64bitOSとして普及するかどうかだけど、
Windows7ではまだ普及まで行かないんだろうなー(^_^;)


adobeCS5でCSの全アプリケーションが64bitに対応したら、
Windows7 64bit版搭載のPCを買ってもいいんだけど。

現状で64bitOSの恩恵があるのってフォトショップとか
一部のアプリケーションだけだったよね確か?


あ、TMPGEncもWindows7 64bit対応版出して欲しいなぁ。
そしたらプラスαでCUDAの載ったグラボにしてもいいんだけど。


しかしOSアップグレードって面倒臭そう。

それなら新OS搭載PC買ってデータだけ移行して、
元のPCと作業分担させる方が楽っぽい気がする。


【ニュース引用ここから】
[解説]Windows XPからWindows 7に移行する際のチェックポイント

9月25日19時58分配信 Computerworld.jp

▼Point 1 インストール要件を確認する

 現在使用中のPCでWindows 7が動作するかどうかは、マイクロソフトのWebサイトで公開されている「Windows 7 Upgrade Advisor」をダウンロードして確認できる。

 Windows 7 Upgrade Advisorは、Windows 7のインストールCDにも収録されており、インストール時に実行できるようにもなっている。しかし、購入する前に確認しておいたほうが安心である。

 Windows 7 Upgrade Advisorでは、まずWindows 7が動作するための最低限のスペックを満たしているかどうかがチェックされる。

 さらに、デバイスおよびプログラムの構成から、Windows7への対応状況を表示する。表示される結果のうち、緑のチェックは問題なしと判断された項目、黄色の「!」マークは互換性に若干の問題があったり、対応しておくほうが好ましいと判断された項目、赤の「×」は互換性がなく、個別の対応が必要な項目である。

▼Point 2 Windows XPでしか使えないソフトは…

 Windows XPで使っていたプログラムの中には、Windows 7にアップグレードすると、動作しなくなるものもあるかもしれない。アプリケーションによっては、マイクロソフトのWebサイトでWindows 7に対応しているかどうかを確認できる。

▼Point 3 使っていたデータの移住先は?

 Windows 7をインストールする際、起動ドライブにあったファイルは、丸ごと「Windows.old」フォルダに保存される。このため、Windows 7でも使用可能なプログラムやデータファイルならば、コピーするだけで利用できる。

 「Windows.old」フォルダの内容は、Windows 7の動作には不要なため、必要がなければ削除してかまわない。ほとんどの場合、かなりの容量を持つファイルなので、削除すれば多くの空き容量を確保できるだろう。

▼Point 4 起動ドライブをバックアップする

 Windows XPからWindows 7へのアップグレードは、起動ドライブのファイルを完全に消去する(「Windows.old」フォルダにコピーは残せる)クリーンインストールしか方法がない。

 だが、Windows XPからWindows 7へ移行したとき、Windows XPで動作していた重要なプログラムが起動できず、元に戻したい、あるいはデュアルブートにしたいというケースも考えられる。そこで、部分的なバックアップではなく、市販のバックアップソフトなどを使って、ドライブを丸ごとバックアップする「完全バックアップ」を実行することをお勧めする。

 Windows 7のインストールに影響があるのは、起動ドライブ(Cドライブ)のみで、ほかのドライブに変化はない。そのため、バックアップの対象は主に起動ドライブとなるが、1つのハードディスクを複数のパーティションに区切っている場合には、それらもすべてバックアップしておくほうが安全である。移行に失敗してWindowsが起動しなくなるという最悪のケースも想定して、CDから起動してリストア(復元)することが可能なバックアップソフトを用意できれば、さらに安心だ。

(寺口俊伸/ライター)


http://headlines.yahoo.co.jp/hl?a=20090925-00000004-cwj-sci
【引用ここまで】


まぁ何事もやってみけりゃ分からないし、
面倒臭い作業で経験積むのも一つだけど。


RADEON HD5870/5850も出たことだし、現行グラボの値下がりを待つか・・・。
でもPCゲームしないし、消費電力の多い高性能GPUは要らないなぁ。

CUDAサポートのGPU買っても、激重なフィルタ処理をしなければ動画エンコードに
劇的な変化はそうそう見込めそうにないし、ゲフォを買う必要性も無さそうだ。

て事はグラボも見送りでいいんじゃないかと思えてきた。
スペック厨でもなけりゃ知識が豊富なワケでもないんだし。

取り敢えずデュアルモニターにすることを最優先に考えよっと。

他のことは後でいいや。



あ〜面倒臭ぇ、こう言うのを下手の考え休むに似たる、って言うんだろうな(笑)。



JUGEMテーマ:パソコン


author:wotakkey, category:PC・IT技術関係, 14:59
comments(0), -, pookmark
こ、これは…!

これが・・・新しいipod nanoなのか・・・

ダ ジ ャ レ で ー す


いやーipod nanoユーザーとしては
真面目に欲しいと思うな、これは。

初代を僅か2週間で紛失して、第2世代が
出てから買い直したのが何年前だろう?

それがいつの間にか第5世代か。

今、激しく物欲が刺激されてます(笑)。

しかしここはグッと我慢の子w

機能性よりは高音質で音楽を楽しむ方に比重を置いてるし、
新機能は携帯電話に既にあるしね、無理に買う必要が無いから。


とは言え、カラーはどれにしようか…、迷うなこれはw



などと考えている俺ガイル(´・ω・`)



JUGEMテーマ:iPod


author:wotakkey, category:PC・IT技術関係, 16:50
comments(0), -, pookmark