増田くんと倉花ちゃん
いいこと書いてあるなーと思いつつ……。
増田くんがパッションで作ったサービスが大人気になりました。でもそのサービスにはSQLインジェクション脆弱性が……!秘密の方法を使うと、データベースの中身が丸見えになってしまいます。
しかも増田くんのサービスはかっこいいので、メールアドレスとパスワードでログインする仕組みがついています。もちろんパッションの増田くんは常に生。小難しいことは抜きにして、メールアドレスもパスワードも、生まれたままの姿でデータベースにインサートです。
さて。増田くんサービスの脆弱性に気づいた倉花(くらか)ちゃんは、メールアドレスとパスワードの組をたくさん手に入れて大喜びです。倉花ちゃんは、お金儲けよりもスイーツよりも、人を陥れるのが大好きな女の子。おなかの黒さでは、誰にも負けない自信があります。
さっそく倉花ちゃんはスクリプトを書き始めました。
「mixiにログインできるアカウントは……10に1つってとこかー。意外とスカが多いなあ。とりあえずmixiのアカウントが100個手に入ったわけね。次にメール通知を全部オフ、と。ついでにメッセージが届いたらすぐわたしに転送して削除して……よし!準備完了!さてさてマイミクさんたちとどんな思い出作ろっかなー。うふふふふ」
2週間後、mixi事務局にぽつぽつと届き始めたクレームのことなんか何も知らない増田くんは、次のサービスの開発に取り掛かろうとしています。もしかすると、自分作ったサービスが何をしたのか、増田くんはずっと気づかないままかもしれません。もしそうなら、なんて幸せな増田くんでしょう!
おしまい。
というわけで、難しいこと知らずに趣味で作るサービスでも、作り方にコツはあると思いました。例えばメールアドレスやパスワードを入力させないとか。パスワードをランダムな文字列で固定にするだけでも、増田くんのサービスはずっと安全になると思います。