2006年12月04日

OSS の場合、人の話を鵜呑みにしてはいけない。

オープンソースを紹介する記事はいろいろありますが、すべてを鵜呑みにすると危ないですよ。NEXTWISEさんもオープンソース推進のためにがんばっておられますが、下記のソフトはまずいと思います。

(下記引用。)
-----------------------------------------
FreeWERM 〜人事部お助けソフト〜
http://nextwise.jp/ossreview/?p=1313
従業員の勤怠、給与情報、個人情報などを管理するためのWebベースアプリケーション。オープンソースソフトウェアであり、無料でダウンロードできます。データをデータベースに貯えており、従業員情報をPDFで出力することや、タイムカードをMicrosoft Office Excelのデータとして出力することも可能です。
-----------------------------------------

コメントするところがなかったのでここに書いておきますが、このソフトを仮にだれかが使ったら一発で情報漏えいです。デモで動いているサーバも、データベースのパスワードが丸見えでした。(2006/12現在)これはソース見たら一目であぶないとわかるレベルだと思うんですが……。SQLインジェクションとか、クロスサイトスクリプティングとかいう以前の問題です。事務所のLANの中だけで使うから安全だ、とかは言えないと思います。

オープンソースのソフトはこの手のものが山ほどありますので、MOONGIFTさんのように、最低、自分のサーバで動作させてチェックするくらいはして記事を書いたほうがよいと思います。

*12/6 追記*
言いっぱなしでは申し訳ないので、上記プロジェクトのほうに連絡しました。現在、データベースパスワードに関しては、見えてしまわないようにサイトを修正したようです。


posted by SDozono at 22:15| 東京 ☀| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス: [必須入力]

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
WebとCTI、VoIP技術の高みを目指して - 技術者の24時間
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。