ハッカーまがい

ども。
夏は夏らしく暑いと言いながら過ごすことが好きな担当ちゅんです。

先日、某所のPCを最新のWindows 7 端末に入れ替えました。そうです、先日書いた「棚ぼた」のあれです。これまでのPCは緩慢な動きで業務にも支障が出ていたので、先方は大層お喜びになられていたのですが・・・。まさかの事件発生です(いや、想定内か)。

PCを取り替えたことで、ウェブサイトの更新に使用しているCMS(オリジナル)にログインできなくなったとの連絡を受けたのです。念のためユーザー名とパスワードを間違っていないかを確認するも、前のPCでは問題なくログインできていたとのこと。う~ん、困りました。

真っ先に思い浮かんだのは「IE」のバージョン違いによる障害。従来はIE8を使っていて、今回はIE9。もしかしたら・・・(でも、IE8と9でそんなに大きな差は無いはずだけど・・・)とりあえず、検証用のWindows XP マシン(IE8)からアクセスを試みます。先方から教えてもらったユーザー名とパスワードを入力して、ログインボタンをクリック。しかし、うんともすんともいいません。アカウントに間違いがあるのか、はたまた、ローカルディスク内に何らかのソフトウェアをインストールする必要があるのか。とにかく、ログインできないのです。

こういうときに、一番困るのが「パスワード、間違ってませんか?」と先方に再び問い合わせざるを得ないこと。決して信用していないとか、そういう意味ではないのですが、再度「本当に間違いありませんか?」などと聞いてしまうと、場合によっては「しつこいですね!私を疑ってるんですか?」と気分を害されてしまいます。は~、本当に困ってしまいました~。

そうなれば、いよいよ最終手段です。一か八か、FTPでサーバに接続して、ログイン画面を出しているHTMLファイルをダウンロードしてみます。ソースコードを拝見してみると、どうもあやしい記述が。ドキュメントルートの外側に置かれたディレクトリから、設定ファイルらしきものを読み込んでいるっぽい。これなのかな。
さっそく、そのディレクトリから怪しいと思われる対象ファイルをダウンロードして、これまたダメ元でテキストエディタで開いてみました。すると!

見えちゃった・・・。

はい、ばっちり見えました。ユーザー名とパスワードが。普通、暗号化とかされてるもんじゃないのかね。これ、セキュリティ的に大丈夫なのかな~とは思ったのですが、Webからはアクセスできない場所に置いてあるし、FTPのアカウントが乗っ取られるような事態が発生すれば元も子もないわけだし、今のところは「ま、いっか」ということで。近日、Webサイトそのものがリニューアルされる予定もあることだし・・・。
結果としては、先方から教わった「パスワード」に間違いがあったということが判明し、一見落着となりました。

後から話を聞くと、どうやら「パスワードはブラウザに記憶していて、ユーザー名だけを入力すれば、パスワードは自動で入力になっていた」とのことで、どうも最初と話が違うような・・・というオチもつきました。ともかく、無事にログインできてよかったですね!

CMS
オリジナルのCMSなので、パスワードのリカバリ方法も分からず。オリジナルはこういうときに困ります。

(投稿者:ちゅん)


カテゴリー: つぶやき パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です