読者です 読者をやめる 読者になる 読者になる

増田くんと倉花ちゃん

Security

いいこと書いてあるなーと思いつつ……。



増田くんがパッションで作ったサービスが大人気になりました。でもそのサービスにはSQLインジェクション脆弱性が……!秘密の方法を使うと、データベースの中身が丸見えになってしまいます。


しかも増田くんのサービスはかっこいいので、メールアドレスとパスワードでログインする仕組みがついています。もちろんパッションの増田くんは常に生。小難しいことは抜きにして、メールアドレスもパスワードも、生まれたままの姿でデータベースにインサートです。


さて。増田くんサービスの脆弱性に気づいた倉花(くらか)ちゃんは、メールアドレスとパスワードの組をたくさん手に入れて大喜びです。倉花ちゃんは、お金儲けよりもスイーツよりも、人を陥れるのが大好きな女の子。おなかの黒さでは、誰にも負けない自信があります。


さっそく倉花ちゃんはスクリプトを書き始めました。


mixiにログインできるアカウントは……10に1つってとこかー。意外とスカが多いなあ。とりあえずmixiのアカウントが100個手に入ったわけね。次にメール通知を全部オフ、と。ついでにメッセージが届いたらすぐわたしに転送して削除して……よし!準備完了!さてさてマイミクさんたちとどんな思い出作ろっかなー。うふふふふ」


2週間後、mixi事務局にぽつぽつと届き始めたクレームのことなんか何も知らない増田くんは、次のサービスの開発に取り掛かろうとしています。もしかすると、自分作ったサービスが何をしたのか、増田くんはずっと気づかないままかもしれません。もしそうなら、なんて幸せな増田くんでしょう!


おしまい。



というわけで、難しいこと知らずに趣味で作るサービスでも、作り方にコツはあると思いました。例えばメールアドレスやパスワードを入力させないとか。パスワードをランダムな文字列で固定にするだけでも、増田くんのサービスはずっと安全になると思います。