osCommece alter 版
思い出したのでメモ。
一時期、いろんな買い物かごCGIが流行ってた中で、かなりあちこちで見かけたのがこの osCommerce alter版。
海外製のものをforkして日本語をねじ込んで作ってたものだったけど、壮大な脆弱性があって、廃れてった。
実際、中身は結構よくできていて、今のWordpressの思想によく似てたと思う。
本家版は今でも更新されてるけど、このalter版、和製にするのに、単純にコア書き換えしてしまったので、本家に追従できなかった。
どんな脆弱性だったかというと、URLにセッションIDくっつけてたというやつ。
http://ja.wikipedia.org/wiki/Pathtraq
たぶんこんな感じのURL送信サービスとかに引っかかったんだろうか。検索したらセッションID込みのURLがわんさか出てきていた。
alter版がforkされたのは、この脆弱性が治ってない時のものだったので、その後いろいろ苦労があったろうなと思っていたが、「もう配布していません」という記事をみかけて日付を見ると2012年だったのでもやっとした。