これでも大学職員のブログ

「はてなダイアリー」から「はてなブログ」に移行しました。※旧URLにアクセスするとリダイレクトされますのでご安心を。

パスワード間違えたけどログインできちゃった

今回は「大東文化大学」を取り上げさせていただきました。

にほんブログ村 教育ブログ 大学教育へ


パスワードが間違っていてもログインできてしまったら。。
今回はそんなことが長期間に渡り起きていたところを紹介します。


大東文化大学」です。

screenshot
情報センターの設定ミスにより、cgiサーバ cgi.daito.ac.jp への FTP接続がどのようなパスワードでも可能となっていました。 誠に申し訳ございません。
改ざんの可能性があるため、全ユーザのコンテンツを一時的に非公開としております。お手数ですが、各ユーザにて再公開の作業をお願いいたします。



これは一大事です。
ミスの正確な発生時期は不明ですが、少なくとも2007年10月25日頃の作業後には、このような状態になっていたことが判明しています」とのことですから、1年半以上もの間、他人の領域に入りたい放題だったわけ。 (実はユーザ側の指摘で発見?)


まさにアノニマス(anonymous)状態! (夜中に叫んでみました)


フォローするわけではありませんが、こういうミスって管理側では結構気づかないかも。
FTPに限らず様々なサービスを開始する際、動作検証時に「正しいパスワードでログインできるか」は確認しても「でたらめなパスワードで拒否されるか」なんて確認しない管理者もそれなりにいるのでは?
(私もそうかも。。肝に銘じておこう)


cgi設置者に対して「ファイルが改ざんされていないことを確認するか、改ざんされていないことが確実なファイルに入れ替える。改ざんされていた場合は修正を行う。」と呼びかけてます。


しかし、改ざんされているかどうかなんてまず判断できないと思います。
改ざんされてない」と判断して再公開して実は改ざんされていたら、今度はcgi設置者の責任問題にもなりますし。




今後のcgi設置者へのフォローが大変そう。。


※「FTP接続は学内LANからのみ可能であるため〜」が不幸中の幸いでしたね。
 (って、今どきftpを学外から許可している大学はあまりないとは思いますが。。)


にほんブログ村 教育ブログ 大学教育へ