パスワード間違えたけどログインできちゃった - 「これでも大学職員のブログ」の古いやつ

今回は「大東文化大学」を取り上げさせていただきました。

パスワードが間違っていてもログインできてしまったら。。
今回はそんなことが長期間に渡り起きていたところを紹介します。

CGIサーバにおける設定ミスについて　（2009/06/05付）

情報センターの設定ミスにより、cgiサーバ cgi.daito.ac.jp への FTP接続がどのようなパスワードでも可能となっていました。　誠に申し訳ございません。
改ざんの可能性があるため、全ユーザのコンテンツを一時的に非公開としております。お手数ですが、各ユーザにて再公開の作業をお願いいたします。

これは一大事です。
「ミスの正確な発生時期は不明ですが、少なくとも2007年10月25日頃の作業後には、このような状態になっていたことが判明しています」とのことですから、1年半以上もの間、他人の領域に入りたい放題だったわけ。　（実はユーザ側の指摘で発見？）

まさにアノニマス（anonymous）状態！　（夜中に叫んでみました）

フォローするわけではありませんが、こういうミスって管理側では結構気づかないかも。
FTPに限らず様々なサービスを開始する際、動作検証時に「正しいパスワードでログインできるか」は確認しても「でたらめなパスワードで拒否されるか」なんて確認しない管理者もそれなりにいるのでは？
（私もそうかも。。肝に銘じておこう）

cgi設置者に対して「ファイルが改ざんされていないことを確認するか、改ざんされていないことが確実なファイルに入れ替える。改ざんされていた場合は修正を行う。」と呼びかけてます。

しかし、改ざんされているかどうかなんてまず判断できないと思います。
「改ざんされてない」と判断して再公開して実は改ざんされていたら、今度はcgi設置者の責任問題にもなりますし。

今後のcgi設置者へのフォローが大変そう。。

※「FTP接続は学内LANからのみ可能であるため〜」が不幸中の幸いでしたね。
　（って、今どきftpを学外から許可している大学はあまりないとは思いますが。。）