Semantic Web – WordPress

メールアカウント「コンマ」誤入力と個人情報流出

leave a comment »

フォーム入力・投稿時、メールアドレスのアカウント部分に コンマ (カンマ comma「,」)を誤って本人が入力してしまったとき
[例] (誤) abc,def@xxx.example.com (正) abcdef@xxx.example.com
もしも、WWWサーバ上のフォーム・ウェブメールの送信プログラム (perl など)に E-Mailアドレス書式チェック「コンマ」がなく、メール通知機能が有効になっている場合、本人でないメールアドレスに入力情報が誤送信されてしまいます。
具体的には (ホスティングサーバで検証したところ)、上記の(誤)入力アカウントのとき
(1) abc@レンタルサーバのドメイン (2) def@xxx.example.com
の2つのメールアドレスへ送信されてしまいます。
さらに、(1) and/or (2) が実在するメールアドレスであれば、第三者に個人情報が誤って送信されます
サーバ上の送信プログラムは、通常、実在しないメールアドレスであってもプログラム設置者にエラーを返しませんし、本人のアドレスも不明ですので、第三者に誤って送信されたことをメールで通知することが不可能な事態となります。
自動メール通知機能を有効としてメール送信プログラムを運用する際、E-Mailアドレス書式チェックとして「コンマ」を必ず実行するようにプログラムの改修をおすすめいたします。
[具体例 perl: if文の追加]

if ($FORM{‘email’} =~ /\,/) { &error(“メールアドレスにコンマ「\,」が含まれています”); }
if ($IN{‘email’} =~ /\,/) { &error(“メールアドレスにコンマ「\,」が含まれています”); }

など。
[追記 2005/11/20] フォームメールの他の問題点(スパムメール)をお知らせいたします。
「フォームメールCGIの脆弱性をついた大量メールについて」
  » http://sb.xrea.com/showthread.php?t=10113

Written by support

2005/10/25 @ 11:22

カテゴリー: perl

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。