OCNで他人のメールパスワードを無断変更できる不具合
http://internet.watch.impress.co.jp/docs/news/20120210_511257.html
http://www.ntt.com/release/monthNEWS/detail/20120210.html
http://it.slashdot.jp/story/12/02/10/1116216/
メモ
会員がメールパスワードの再設定を申請した際、システムでメールアドレスの整合性チェックをしていなかったのが原因。申請確認ページにおいて、誤って他の会員のメールアドレスを入力してしまった場合、その会員のメールパスワードが変更されてしまったという。
メールパスワードを他人に変更されてしまった会員は、自分のメールが利用できなくなるとともに、変更操作を行った会員にメールを閲覧されてしまう可能性があった。
誤って変更しただけならまだいいけど,故意に変更されたらたまらんな.
プログラム的にはそういうミスがあり得るのは分かるけど,テストで発見できなかったのは解せない.一回テストすれば分かるような事なのに開発陣の誰も試さなかったのか?テスト項目に入ってなかったのか,それとも条件によって発生したりしなかったりするような書き方でもしていたのか.
OCNマイページだと、ユーザー認証に「ユーザーID+パスワード」か「メールアドレス+パスワード」のどちらでも使えるようになっています。
思うに、「メールアドレスでログインした人がメールアドレスを間違えているわけがない」という大前提が、ユーザーIDでログインした人にも適用されてしまったということではないでしょうか。
http://it.slashdot.jp/comments.pl?sid=559860&cid=2097084
なるほど.
「条件によって発生したりしなかったりするような仕様だった」と言う所か.*1
*1:だから,こういう下らない条件分岐を仕様に入れ込むなとあれほど...と上流工程屋に言ったところで,馬の耳に念仏だけどさ.