やばい。 RMSの使用者の闇を垣間見てしまった。

 

とある楽天の店舗で、スマホ版のヘッダーを作っているところがあった。

で、お局さんから、それと同じようにして欲しいといつものわがまま。

 

いやまぁお局さん云々とかそれはいいんだ。

 

とりあえず、RMSのスマホ版ってヘッダーのカスタマイズできたっけ？とか、外部ファイル読めたっけ？とか思いながら、ソースコード眺めていたら…

 

※以下のコードは決して実行を煽るようなものではありません。むしろ、絶対に実行しないでください。

<link href="goldのCSSファイル" =""="" rel="stylesheet" type="text/css">

 

以上のような記述。   ん？「=””=””」ってなんだ？ どっかで見たことあるような・・・。

 

あかん！これあかんやつや！！

 

まさかの楽天RMSのセキュリティホールか？

このコードを入れることで、RMSのタグ規制をすり抜けてlinkタグないし、iframeタグなどの使用ができる様子。

まさしく、偶にあるIT系の会社の事件に使われているアレのコード（に似ている）。

どこの制作会社が最初にやったのかは知らんが、意図的にまたは偶然見つかったのか…。

いや、そんなことはどうでもいい。

これはやばいやつ。 楽天の規約云々以前に、これって法に触れるような悪いこといろいろできるんじゃないか・・・？恐ろしや・・・。

さすがにセキュリティホール突いてまで実装するだなんて、そこまで人間落ちぶれちゃいない。まぁ、怖くて実験する気にもなれませんでした。

まぁ、このコードを入れれば便利という理由で、店舗側なり制作会社なりでは黙認されてるんだろうが、絶対にやってはいけないことってあると思うのよね。

2重価格偽装の問題についてもそうでしたが、RMSの売り手側・制作側のモラルやリテラシーがどれだけ低いかってのがよく分かりますよね。

 

まぁ俺みたいな腐れコーダーが言うのもアレですがね。

可能ならばなにをやってもいいのか。 HEDOが出ますね。