とあるサービスを利用しています。かれこれ2年ほど。個人的にではなく仕事でですが。
こちらのブログにもちょこちょこと書いている「なんの通達もなく問い合わせ電話番号が変わる」「担当者が変わったので再度申請しろ」のサービスです・・・・。
で。
そのサービスのマニュアルにですね。
「○×△のようなデータを取得したい場合(画面上の条件だけでは不十分な場合)はURLの部分に直接SQL文を入力することでカスタマイズせずにデータを抽出できます♪」※「ホラ!このサービスはこんなに便利な機能が付いてるんだぜっ!」という自信が垣間見えます。
ってあるんです。(Twitterでも話したような・・・・)
例)hTTp://www.gahaku.h0ge.com/id=画伯のID=?"SELECT GahakunoSaino FROM TABLE_A"
みたいな。
で。
さすがにこれはまずいでしょ?ねぇまずいよね?設計上のミスじゃなくて、「利用方法」として認めているなんて危ないよね?
(しかも「推奨」気味)
ということをずっとずっと「改善要望」であげていました。
ずっとずっと「無視」されていましたけど。
で。
やっと返答が来てですね。
「○○××△で協議した結果、以下の点からセキュリティ上の問題はないと結論が出ましたのでお知らせ致します」
1:IDとパスワードがないとサービスを利用することができない仕様になっている
2:Googleなどからは検索されないように対策をしている
・・・・・・・・え?
明らかに「ちょwwwおめwwwちゃんとやってんだから素人は口だすなよwww腹イテwwwww」みたいな小馬鹿にされた感一杯です。
で。
「万が一、IDおよびパスワードをお客様にて紛失された場合の責任は負いかねます」
みたいな一文が入ってるですよっ!!!!
キィィィィ~~!!!!!