ソーシャルネットワークの gree に穴（？）らしきものを発見。

http://www.gree.jp/?mode=common&act=edituser ではパスワードを変更できるのだけど、このページにパスワードが生で埋め込まれている

<input type="password" name="user_password" size="20" value="XXXXXXX"> (6文字以上,20文字以内,半角英数のみ)

普通は、パスワードの変更をするときだけ新しいパスワードを入力するようにするんじゃないだろうか。

パスワードの確認入力がないのもひどい。

パスワードの生データがそのままデータベースにつっこまれているのも気持ち悪い。パスワードは MD5 みたいに不可逆な形式で保存していてほしいよ。