2005年11月06日

seesaaからの続報

他人の管理画面を表示したり、他人に私の管理画面が表示されたりという現象ですが、再度seesaaからコメントが届きました。

こうなると、もう私のネットワーク知識では??です。



お問い合わせ頂いた件についてですが、サインインした際に他の
方のブログが表示される場合、ブラウザのセッション(マイブロ
グに以前にサインインした際のつながりを示すもので、サインイ
ンごとに発行され、ブラウザが取得するパスポートのようなもの)
が、他の方に対しても重複されて取得されている可能性がござい
ます。

そのため、ブラウザが誤認識を起こし、異なるページへサインイ
ンしてしまうものと思われます。

弊社では、本事象発生後、ブラウザが誤認識をおこなさないよう
、セッションの際の発行IDを重複しにくいような形にしておりま
す。ただし、あくまでもブラウザごとの問題になるため、稀に
誤認識を起すことも予想されます。

その際には、誠にお手数かとは存じますが、一度以下の方法にて
Cookieの削除を行って頂き、再度サインインをして頂ければと
存じます。
〜〜
--------------------------

セッションIDについては、ご報告を頂きました時点で発行する
ID文字列の数値を倍にすることで対処をさせて頂いておりますが、
一部のユーザー様におきましては、Cookie情報が古いままの状態
にて利用をされている事があるため、その方のブラウザで誤認識
を起したものと思われます。

なお、上記以外の場合でもネットワーク枠接続が同一にある場合
には、混線する可能性もございます。これらは、システム上の問
題ではなく、ネットワーク上の問題であるため、一度サインアウ
トをして頂き、再度サインインをして頂く必要がございます。

回答につきましては以上になりますが、また何かご不明な点がご
ざいましたらお問い合わせ頂ければと存じます。

以上、宜しくお願い致します。


posted by siam_breeze at 11:51| バンコク ☁| Comment(9) | TrackBack(0) | 日記 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
以下のアドレスの情報が参考になるかと思います。

http://www.sixapart.jp/movabletype/news/2005/05/12-1500.html

http://pcweb.mycom.co.jp/news/2005/05/12/012.html

http://naoya.dyndns.org/~naoya/mt/archives/001688.html

(参考にならなかったゴメンナサイ)
Posted by ひろ at 2005年11月06日 12:41
セッションIDって、普通そう簡単に重複するようなものを発行しないんですけどね。明らかにシステム上の問題だと思います。
Posted by keita at 2005年11月06日 14:17
セッションIDが複数のPCに渡って発給されて 他のユーザーの物が見れる仕組みは 間に入ったProxyのトラブルでもない限りサーバー側の問題化と思うのですが・・・
それによって個人情報が漏れる恐れがある場合、それに対する対策を立てていない つまりユーザー側だけに責任を転嫁するようなシステムの構成を行った段階で 個人情報保護法案に引っかかりますし、このサーバーをプロバイダーが管理している場合には プロバイダーの通信業の免許習得時の条項に引っかかって最悪取り消しにあうと思うのですがね。
Posted by rgb400 at 2005年11月06日 14:44
凄い強引な説明ですね。というか、原因を説明して開き直られても困りますよね。

これで言うと、先物も株もそれどころか銀行口座もネットでは怖くて扱えないですよね。
ログインしたら他人の口座の画面だったなんて考えただけで凄いですよね。
Posted by なじゃ at 2005年11月06日 15:55
siam さんのパソコンでの Cookie 削除は siam さんが他人の管理画面へログインすることは防いでくれる場合もありますが、他の方が siam さんの管理画面へログインすることは防いでくれません。「セション ID がまれに重複する」というのは、はっきりいったら基本設計のミスですから、私なら即刻 seesaa の利用はやめると思います。
Posted by tera_jp at 2005年11月06日 16:08
強引というか、わざと難しく見せかけて責任逃れしようとしているだけって感じの文章ですね。

ネットワーク関係の仕事をしている人間から言わせれば、嘘をつくならもっとマシな嘘にしろって言いたいです。

明らかに、システムのバグであることは明白なわけで、それをまるでブラウザやネットワークが悪いかのような嘘をつくなんて最低。

このままでは他人のブログが見える、自分のブログが見られるってだけでなく、大量の個人情報が漏洩して事件化するのも時間の問題かと。
(もしかしたら、既に大量漏洩しているのを誤魔化しているだけなのかも。)

早急にseesaaの利用をやめたほうが賢明です。
Posted by なーが at 2005年11月06日 20:00
なーがさんに激同。

「上記以外の場合でもネットワーク枠接続が同一にある場合には、混線する可能性もございます。」って何ですか?これ明らかにバグです。もとい、システム欠陥です。これが許されるなら、すべてのblogインフラは崩壊します。こんなシステムに大切な個人情報の改変を任せる訳にはいけません。

また以前書かれたようにseesaaの規約には「Seesaaは、取得した個人情報を厳重に保管致します。また、個人情報については、予めアカウント登録者の同意が得られない限り、特定の個人を識別できる状態で第三者にそれらを開示することはありません。」とあるわけですから、本件はこれに無作為であれ違反し、それを認めたわけです。アメリカなら集団訴訟ものです。そしてこのメールはその明示的立証証拠です。(このメール書いた人、無作為の作為って知らんのかね?)

siam_breezeさんがどこまで踏み込まれるかは本人の判断ですが、私なら戦います(-.-#) でもめんどくさいからとんずらかも・ヾ(。><)シ あと2ちゃんにスレ作るとか(O_O)

とにかく、速攻でseesaa解約しましょう。

ーーーー
SISIMARU
Posted by SISIMARU at 2005年11月06日 21:37
私は何年か前から現在までWebシステムを作ってるのですが、ぱっと見た感じフレームワークのバグですね。
ひょっとしたら、フレームワークも無いのかも。
システムの根幹がバグってるのでかなり根深いと思います。
文面通りの対応しかseesaaが取っていないのであればまた再発しますね。
再現率は低くなってはいるでしょうけど。

しかしSession-IDが重複って、、、
そもそもseesaaの主張するSessionとは何かすら不明なわけですが。(言い訳のレベルが低すぎて何か勘違いしてるような気がする)
クッキーの値を適当に変更してページを開いたら、他のユーザーの権限でログインできてしまいそうな気がしてなりません。
Posted by Hayase@旅行者 at 2005年11月07日 01:15
seesaaには引き続きクレームを出しています。
同時に、blogの引っ越しを考えていますが、「E-mailでエントリーできるblog」がなかなか見つかりません。ケータイアドレスからエントリーできるblogはたくさんあるんですが・・・。

で、昨夜も、自分のIDとパスワードで、他人のblogの管理画面にログインしてしまいました。
ただ、管理画面にある各種メニューは記事投稿画面など管理画面以下の画面にはクリックして「エラー表示」されるだけで、そこから先には進めませんでした。

匿名希望さんのコメント、消去させていただきました。理由は、貴兄自身が情報漏洩しちゃっているからでーす。

Posted by siam_breeze at 2005年11月07日 09:53
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック