セッション管理がダメダメな図書館システムを 3 年も前に見つけてしまった顛末

やっと、ベンダー側での全ての対応が完了したということが確認できたので、事の顛末を公開できる状況になったのですが、文京区の図書館システムは、個人情報が漏洩しかねない脆弱性を抱えていました。 自分の中での整理も含めて、どんな状況だったのかまとめておきたいと思います。 ＃自分には、Web アプリとか Web システムを作った経験はありませんが、見つけた時には「これは、ひでぇ…」と思いましたよ。 一体、どんな問題であったのか？ 問題があったのは、文京区立図書館システムで使用されている ELCIELO という図書館業務のパッケージシステム。 2010 年 4 月にプロポーザル形式での業者選定で京セラ丸善システムインテグレーションに決まって、システム自体の稼働は 2011 年 1 月初めから。 自分は、富士通のシステムが使われていた頃から、Web での図書の貸出予約が出来るように利用者登録をしていたの

[todesking]

いい話かと思ったけど微妙、セッションIDがGETパラメータに含まれてるのってどの程度問題なんだ?

[troter]

JSESSIONIDのことかな？

[mi1kman]

パッケージシステムと言っても中身はほぼ個別のSIみたいなものだったりするので、一般的なソフトウェア製品と違って修正は長期戦になりますよね。おつかれさまでした

[michihide]

IPAの限界。

[labocho]

2011年1月届け出、10月にテスト環境で対応、2013年5

[tzh]

闇に葬られずによかった案件。「だから日本の図書館システムは」と安易に言わず，継続して直してゆくためにどうすればよいかを考えたい。

[waterperiod]

IPA経由でベンダーへの申し立てができるのか。自分が使う機会はなさそうだけど覚えた。そして脆弱性の陰に実は顧客側の「違うブラウザやPCで同じセッションの情報を見たい」等の要望があったら？と妄想すると怖い。