危険な某超有名高級ホテルのサイト

　これまでにも何度かCGIスキャンのことについて書いてきたが、2日連続でアメリカの某超有名高級ホテルのサーバからCGIスキャンが行われていることを確認した。明らかにサーバが乗っ取られている感じだ。

　このことを某超有名高級ホテルのサイトにある問い合わせを行うHTMLフォームで送信してあげたのだが、このHTMLフォームにも問題があった。それは、以下の点。

• URLにセッションIDが付いている
• SSL/TLSなどで暗号化されていない

　URLにセッションIDを付けることでこのセッションIDを知り得た第三者は他人が入力した内容を閲覧できる可能性が高まる。それもセッションがタイムアウトになるまで。
　 実際に新しく立ち上げたWebブラウザに自分の取得したセッションIDを指定したが入力した内容を閲覧することができた。つまり、非常に危険であることがわかる。

　しかも送信内容はSSL/TLSなどで暗号化されていないのだ。問い合わせ内容を第三者に読んでくれと言っているようにも見える。

　こんな危険なサイトが未だに存在したのにも驚いたが、それが某超有名高級ホテルのサイトであったことにも驚いた。
　でも、こんなずさんなサイト運営をしているからこそサーバが乗っ取られてCGIスキャンを繰り返す羽目になっているのであると妙に納得した。ここまで来ると報告してあげたのも無駄になる可能性が高い。