最近、「え、これマジで大丈夫?」って思うウェブサイトにかなり遭遇してて、なんだかもやもやしてるんだよね😳✨。特にイベントを開催してるあるスタートアップのサイト。登録した人のアバターが3人分だけ表示されるんだけど、写真にカーソル合わせたら名前が普通に出ちゃうの!これって匿名の訪問者に見せていい情報…?ってなったよ💭
で、ちょっと調べてみたら、Firebase(※クラウドのデータベースね)から返ってくるAPIレスポンスがもう、電話番号やメールアドレス、フルネームなど超個人情報を丸ごとダンプしてる状態だったんだよね🥺。これってDTO(データ転送オブジェクト)っていう設計の話なんだけど、必要最低限の情報だけを渡すべきなのに全部出ちゃってるのは完全にアウトなんだって👀。
しかもコードは圧縮(ミニファイ)されてなくて、APIのエンドポイントが丸見え。試しに認証なしでアクセスできるところもあって、そこから200(成功)レスポンスで大量の個人情報が手に入っちゃった…!認証は必要だけど、ユーザーがアクセスする権限がない情報まで見れちゃう場所もあって、そこは本来なら403(アクセス禁止)になるべきところだったらしい😭。
こういう 「鍵かけ忘れたままドア開けっぱなし」状態って、本当に怖いし、正直エンジニアとして腹立つんだよね🧠💥。AIとか最新技術があるって言っても、こういう基本的なセキュリティの常識が守られてないのはショックだったなぁ💬。
でも不思議なのが、コードはぜんぜんAIが書いた感じじゃなくて、むしろ人間がやってることがわかるから余計に「あれ?なんで気づかないの?」って思う。AIはコードの内容を全部理解はできても、何が漏れてるかとか権限設計の甘さまでは見抜けないらしいから、結局は人間の目と意識が大事なんだなって感じたよ✨。
まとめると…
- 個人情報は最小限に絞って見せるのが鉄則!
- APIの認証や権限管理(RBAC)はちゃんとやろう!
- コードはミニファイして情報ダダ漏れ防止!
- 便利な技術があっても、基本のセキュリティ意識がないと意味なし!
ほんと、こういうズボラな管理のせいで個人情報が簡単に見えちゃうのは、ユーザーとしてめちゃくちゃ怖いよね🥺🌸。みんなも「これ大丈夫?」って思ったら、ちょっと意識してみるといいかも💡。
こんな感じで、テクノロジーが進んでるのに、肝心なところでつまずいてる現場はまだまだあるみたいだよ~😳✨
Hatena
Comments
グレース
ウェブは昔からこんなもんでイライラするけど、自分の情報は守るしかないよね。
ベン
開発コンソール開いたらFirebaseが3人分の電話やメール、名前まで丸見えでビックリしたよ。 昔はMySQLでパスワードハッシュまで流出してたし、何も変わってないね。
ロバート
だから個人情報はできるだけ出さないようにしてる。 大手でもセキュリティ甘いところ多いからね。
リリー
これはウェブの問題じゃなくて人間の問題。 運送や溶接、石油掘削とかどこも同じで、水道の水がちゃんと出るのも奇跡だと思うよ。
クリス
だからいつも言うけど、データが心配ならネットに載せちゃダメだよ。
ハンナ
昔、健康関係のDrupalサイトを10年以上担当してたけど、CEO交代でクソ野郎のEugeneに仕事奪われて、彼の作ったひどいサイトに変えられた。 SQLインジェクションも簡単に通り、医療関係者の個人情報が丸裸だったよ。
ノーラン
こんなの驚く? SQLインジェクションや情報漏洩は昔からあるし、平文パスワードもまだまだある。 誰でも推測できるID使ってるのもよく見るよ。
ハンナ
どんな会社のオフィス行ってもパスワードがポストイットにペタペタ貼ってある。 病院や大企業でも日常茶飯事で、結局セキュリティは上層部しか気にしてないんだよ。
ジョージ
AIがウェブを安全にするなんて笑える話。 AIが作るコードにはお決まりの脆弱性があって、AI使ってるって公言してる会社は標的になりやすいんだよね。
ワット
こういう問題は1〜2年は誰も気づかないことが多い。 みんな遊びたいけど掃除は誰もやりたがらないってやつ。
ジャック
Teaがどうやってやられたか知ったらゾッとするよ…
リリー
昔は良かったなんて時代はないよ。
グレース
セキュリティやデータの意味わかっても、実際は動いてるだけで精一杯。 上司は訴訟にならなきゃ気にしないから、俺は時間かけて直してるけどね。 開発者はちゃんと仕事してデータ保護意識持つべきだよ。
サム
Firebase Firestoreでコード書いたら、データベース丸ごと公開しちゃう人も出てくるよ。
レオ
いいね、それ気に入った!
