システム会社に会員制サイトを作ってもらって、データベースを見ていたらパスワードが生で表示されていました。…

システム会社に会員制サイトを作ってもらって、データベースを見ていたらパスワードが生で表示されていました。それを見て安全性の面で大丈夫かなと感じています。 システムはPHP + Mysqlです。 環境はSSL通信で検索は引っかからないようにしております。 ただし、httpからhttpsへの強制接続切り替え機能はないのでhttp通信も可能です。 サイト自体は検索に引っかからず、存在もユーザー以外には知られないなら大丈夫かなと思いましたが、結構な個人情報を含む内容のデータなので気になっています。 データベースにはユーザー（3000名ほど）とその管理者（50名ほど）、更にその上の総管理者（3名）という3者全てのIDとパスが生で保存されています。 エンジニアの皆さんから見てこの状態って危険でしょうか？ また、これを解消するにはどうするのがよいでしょうか？ システム会社にこのことを訴えるのか、それとも

[ohayou_ikechan]

問題は生パスワードだけで済まない予感が満載なので、業者を変えたほうがいいかも・・・。

[Sampo]

ベストアンサーは開発元に修正を要求するよう言ってるけど、この水準のセキュリティ知識だとこれ以外の地雷がどれだけ潜んでのか予測もつかないよね… 終わりのない泥沼しか見えない。

[masterkit]

生パスワードが問題じゃないよね、ドヤ顏で生を非難する人には違和感があるな。内部での運用責任は別問題、初期に注文つけてないなら仕方ないだろ。hash化は必須じゃないぞ？ホール潰したいならそれなりの額かけろ。

[honeybe]

色々な所に地雷が埋まってそうな案件。目を合わせちゃいけません！

[s025236]

発注額とその他要件によると思うのだが…個人的には生パスワード云々よりユーザーがアクセスするサーバにphpmyadmin設置する方がよっぽどセキュリティホールになりえると思う

[easy-breezy]

それでオッケーとして納品してくる業者なら問題点を訴えても通じないと思うんだ。

[iakio]

「パスワードをメールで送る機能」が要件にあったというオチじゃないよね。あとWSSEとか

[solidstatesociety]

生

[k12u]

2015年にPHP5.2って

[quabbin]

業者を変えたからといって、その業者が信頼できるかどうかとかはまた別の話だったりするし、微妙だよね…。信頼できるだけの腕を持った人の人脈を築くところから根本治療だけど、時間がかかりそうだし…う～ん。

[pixmap]

プライバシーやセキュリティが必要な案件にPHPで納品してくる会社には発注しない方がいい。

[natu3kan]

ファッ！

[rti7743]

パスワード忘れたでパスワードをメールで通知してほしいとかいうクソ要件があったのかもしれないから、全体像がわかんないとなんとも言えない。

[f-miyaji]

業者の人とそれ以外とで見解が割れますわな。

[mumincacao]

（すごくでぢゃう゛ってるけどおもちゃにする分にはおもしろそうかなぁ？ 修正することになるともうどこから手を付けていいんだか・・・）Ｏｏ（ーω【みかん

[masayoshinym]

これあかんやつや。色んな意味で。

[ghostbass]

'(シングルクォーテーション)とか<>(大なり小なり)を登録してみて問題が生じるようならどうにかしなければ。

[habarhaba]

“「tak0512」とか「hiroshi1234」とか”

[wasai]

発注時点から色々地雷が埋まってそうな気がする

[n314]

安くしようとしてクラウドソーシングで頼むのは不安、だけど能力さえあれば個人で十分。そんなときこそはてなユーザーへ。

[TakahashiMasaki]

（そんな会社に発注すんなと

[katzchang]

物語がある。