メールアカウント「コンマ」誤入力と個人情報流出

support — Tue, 25 Oct 2005 02:22:54 +0000

フォーム入力・投稿時、メールアドレスのアカウント部分に コンマ (カンマ comma「,」)を誤って本人が入力してしまったとき、
[例] (誤) abc,def@xxx.example.com　(正) abcdef@xxx.example.com
もしも、WWWサーバ上のフォーム・ウェブメールの送信プログラム (perl など)に E-Mailアドレス書式チェック「コンマ」がなく、メール通知機能が有効になっている場合、本人でないメールアドレスに入力情報が誤送信されてしまいます。
具体的には (ホスティングサーバで検証したところ)、上記の(誤)入力アカウントのとき
(1) abc@レンタルサーバのドメイン　(2) def@xxx.example.com
の２つのメールアドレスへ送信されてしまいます。
さらに、(1) and/or (2) が実在するメールアドレスであれば、第三者に個人情報が誤って送信されます。
サーバ上の送信プログラムは、通常、実在しないメールアドレスであってもプログラム設置者にエラーを返しませんし、本人のアドレスも不明ですので、第三者に誤って送信されたことをメールで通知することが不可能な事態となります。
自動メール通知機能を有効としてメール送信プログラムを運用する際、E-Mailアドレス書式チェックとして「コンマ」を必ず実行するようにプログラムの改修をおすすめいたします。
[具体例 perl: if文の追加]

if ($FORM{‘email’} =~ /\,/) { &error(“メールアドレスにコンマ「\,」が含まれています”); }
if ($IN{‘email’} =~ /\,/) { &error(“メールアドレスにコンマ「\,」が含まれています”); }

など。
[追記 2005/11/20] フォームメールの他の問題点(スパムメール)をお知らせいたします。
「フォームメールCGIの脆弱性をついた大量メールについて」
» http://sb.xrea.com/showthread.php?t=10113

Semantic Web - WordPress » perl

メールアカウント「コンマ」誤入力と個人情報流出