http://blog.tokumaru.org/2015/01/sql.html?m=1

SQLインジェクションに関してはやる人によってはやってしまうわな・・・という感じだが、 X社のガバガバ感の方が個人的に無いわーというのもある。

個人的なことで恐縮だが、某社のWebサイトを構築する時、当時は Windows サーバを使っている会社が少なく、多くは UNIX 系でかつ Microsoft の Web サイトでさえも Windows サーバではなく BSD を使っていた。 なのにその会社はこちらからの提案でせめて Linux サーバで、と訴えたのだが聞き入れてもらえず、仕方なく Windows サーバで稼働することに。 しかも FTP サーバの利用も禁止されたのでアップロードも出来ない。もちろん SCP なんてできやしなかった。 そうやってセキュリティガチガチにしたかったのだろうが、案の定余計なポートを空けていたのかメールサーバがハックされるという自体にも陥り、担当だった富士通の方が急遽来て修復作業をする始末。 で、当の富士通の人も専門的な人ではなかったのか、復旧には時間がかかった。

FTP を使わずどうやってサーバにファイルをアップしたかというと、Perl でファイルアップローダーを作り、ブラウザから CGI ファイルなどを特定のディレクトリにアップロードをするシステムを構築し、そこからアップロードするというかなりリスキーな方法で実行した。 もちろん、特定の URL にアクセスしなければいけない上、念のためパスワードもランダムなものに指定(もちろん admin/password とかじゃないよ)。 でも SSL なんて当時は付けてなかった(多分現在でもその Web サーバにはつけていないと思う)。

こういうガバガバなセキュリティなので指定したファイルは私がいなくなったら消してくださいね、と再三にわたって言ったのだが、 私が抜けてから一年後、ふと該当するファイルアップローダーの URL にアクセスしてみると、

未だあるじゃないか

幸いサーバはハックされることもなく、さらに該当するアップローダーの URL に対して検索ロボット避けもしていなかったにも関わらずテキストがなかったので検索エンジンにも引っかかることなく問題はなかったのだが、多分こういう感覚が上述 URL の X 社にはあったんじゃないかな、という気がしないわけでもない。

セキュリティ考えるならセキュリティホール満載な Windows NT 3.5 を使うんじゃなくて、せめて UNIX 系でなどと思ったし、せめて一般ポート番号ではない FTP サーバ使わせてくれよ・・・と言ったのだが、なかなか取り合ってもらえなかったことも思い出しつつ、 セキュリティを意識しています、というのはあくまでポーズでしか過ぎず、余計な手間を増やして制作側にしわ寄せをしている企業も多いんだろうなと思うと物悲しく思う今日このごろです。