« ココログ管理ページのパケット解析できましたが・・・ | トップページ | たぶんの検索ができるよ、たぶん »

ココログ管理ページ情報漏れの中間メモ

何がどうなってるのか、まとめておこうと思う。

このままだと冷静さが足りなくなるので、頭を冷やすためにも少し放置するけど、忘れないために。

#実際に漏れを確認したわけわけじゃないけど、その危険性が非常に高いと感じているってこと。でも&だから、安心してはいけない。

ココログ管理ページのSSLリンクは、認証が必要だと判断すると、@nifty共通認証ページで認証させるようになっている。
#これも共通認証化されてからだから、それほど昔からのことではない。
認証後のリダイレクトはhttpsではできない仕様らしいので、httpへ移動するのだが、少なくとも、8月中は、さらにhttpからhttpsへリダイレクトできていたらしい。
#今となっては知る術がない。

このため、https://app.cocolog-nifty.com/t/app正常に暗号化アクセスできていた

ところが、今月に入って、http://app.cocolog-nifty.com/t/appでも表示できるようにサーバ側の設定が勝手に変えられたらしい
#因みに、この件に関するアナウンスは見たことがないし、管理ページにもそれらしい表示はなかったと思う。

この変更により、認証(通常のログイン認証と、SSO連携認証の2種類存在すると思われるがいずれにせよ認証リダイレクト)が必要な場合のみだが、httpsを要求しても、httpへアクセスしてしまう問題が発生した。
#認証が必要な条件は今もって不明。

それでも、無理やりというか、認証不要(SSO有効状態)と判断されれば、https://app.cocolog-nifty.com/t/appへのアクセスはできていたので、使う側がどうしても暗号化を望む場合には、暗号化アクセスが可能だった

しかし、これも24日夕方頃から変わり、https://app.cocolog-nifty.com/t/appへのアクセスは全面的にhttpへリダイレクトされるようになる。
#これもアナウンスが無い。いくつかの環境で試したが、現象は同じ。

これで、ココログ管理ページを暗号化する手段は無くなった

そこで、隠ぺいしたい情報が保護されているか確認を行うと、全くそんなことは無く、単にサーバからのレスポンスがgzip圧縮というだけということが分かった。

要は、俺が検証した範囲においてという注釈付きだが、ココログ管理ページに表示される情報は、仮に個人的に保護して欲しいと思っている情報であろうとも、現状何の保護もされていないということになる

 

検証確認するに至るまでに何度か問い合わせも入れている。
以下回答(?)を載せておこう。

09/14回答

09/19回答

09/21回答

09/26回答

この、場当たり的な、嘘っぱちと思える回答に冷静に対応するには、やはり頭を強冷却する必要がありそうだ。
たぶんでも、もう少し気のきいた回答が期待できると思う。

 

特に気に入らないのは以下2点。
・セキュリティに多大な影響があると思われる変更に対し、何のアナウンスもない点。
・検証もせず、嘘回答と思われる点。

回答が遅いというのは、次点にしておこうか。
パケットにより情報ダダ漏れなのは論外。

(追記)
レスポンスがgzip圧縮されてるのは、リクエストのAccept-Encoding:ヘッダにgzip, defrateが設定されていて、サーバがそれに対応しているからに過ぎない。もし、Accept-Encoding:ヘッダに何も指定が無ければ・・・

(もちょい追記)
http://ascii.jp/elem/000/000/456/456787/
パケットをちょいと覗いちゃう方法について書かれているのでメモ。
ちょっとした細工で、実に簡単に覗けてしまうのだよ。
俺がデバイスドライバを使用しないパケットモニタを参考にしたツールは単純にIPレベルパケット内容をダンプファイル化するだけの超低機能ツールだけど、それでもHTTPパケットの内容を見るには十分なのだよ、丸見えなのだよ。

|

« ココログ管理ページのパケット解析できましたが・・・ | トップページ | たぶんの検索ができるよ、たぶん »

ウェブログ・ココログ関連」カテゴリの記事

パソコン・インターネット」カテゴリの記事

コメント

この記事へのコメントは終了しました。