« 終焉ノ弐~ソノ先が無いモノ~ | トップページ | 終焉ノ屍~超立派な張リボテ~ »

終焉ノ参~救イの無い世界~

たとえば、某Y!系列のほとんどのサイトでは、何を考えてるのか、HTTPレスポンスに必ずログインIDに含まれる文字列を入れちゃってくれたりする。

つまり、認証に必要な情報のうち、半分は盗まれ放題だということだ。
キャッシュカードやクレジットカードを落とした状態と同じと考えればよいかも知れない。

さらに、ほとんどの場合、恐らくは、それがメールアドレスを構成する文字列だったりする。

どんなに隠ぺいしたいと願っても、たとえHTTPSによる認証を間に入れようとも、データ自体非HTTPSであれば、その願いは無駄である事実は前回のとおりだ。

メールアドレスくらいなら問題は少ないかも知れない。
メール(POP/SMTP)などでも盗まれる危険性は高いからだ。
でももし、誕生日データや、その他非公開なプライベートプロフィールに関連した情報が付随していたら・・・

 

SSLで認証を行い、ニックネームをクライアントCookieに保存、httpではCookie送受は行わず、共通データを送り、クライアントにCookieがあったら読みとって表示し、あたかも個別ページを表示しているかのように振る舞うといった安全を意識したウェブサイトはほとんどない。
#当然、本当の個別ページでは再認証&HTTPS継続を必要とするけれど。

 

最初からそういう安全性を意識しない仕様であったのなら、仕方ない。
ユーザには、我慢してサービスを使うか、別のもっと安全なサービスを探して利用するか、選択権が与えられているからだ。

けれど、もし、安全性が確保されている状態で利用していたのに、いきなりそれが取り上げられたら、どうすればよいだろう?
しかも、何の事前通告もなしに、だ。

サイト運営側に問い合わせると、バイト回答。
それも最初は、「お問い合わせいただいた内容よりお調べしましたところ~」だと?
調べないと分からないようなことなのか?
同じ社内なのに、知らないうちにってことかよ!!
腐ってやがる。

で、どうしようもないからIPAなわけだが、もう少し書いておこう。

 

非HTTPSであることの問題点は、盗聴に対する中身の保護が無いという他にもう一つある。
中が覗けるということは梱包してない段ボールで宅配するのに対してできることと同じことが可能。
つまり、中身の置き換えができるということだ。

改ざんと呼ばれる脅威。
これについては今回指摘外だったが、特に、投稿などもできてしまうこういったサイトでは、投稿リクエスト情報すら書き換えられてしまう可能性がある。
自分がしたはずの記事が無くて、全く別の記事が投稿されてしまう恐れがあるわけだ。

これも、クライアント側・サーバ側双方とも具体的にどこで何をされたか、感知することはまず不可能だろう。

 

HTTPSならば改ざんにも有効であることは言うまでもない。

 

暗号化にも強度があり、強度があるということは、絶対(100%)ではないということも忘れてはいけないが、暗号化されていないよりははるかにマシだと思う。

 

もう一点、あらかじめ書いておくべきだったかも知れないが、俺は別に、ココログやIPAと争うつもりはなかったし、今もない。
ただ、安全なんてないってことを書いておこうと思っただけだ。
誹謗中傷や憶測を多々書いているかも知れないけれど。

 

さて、IPAか。

IPAへの問い合わせ内容は保存し忘れた(スマン)。
とりあえず、向こう側からの連絡から。



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- ----------------------------------------------------------------
このメールは、取扱い番号 IPA#60026469 に関する連絡です。
- ----------------------------------------------------------------

IPAセキュリティセンターです。

届出情報からは、http://app.cocolog-nifty.com/t/app において SSL
(HTTPS)が使用されていない点が問題であるとの指摘と認識しております。
しかし、上記 URL にアクセスしたところ、下記の URL (@nifty会員用のロ
グインページ)にリダイレクトされることを確認しました。

- ----------------------------------------------------------------
https://login.nifty.com/service/login?s=cocoapp&TARGET=http%3A%2F%2Fapp.cocolog-nifty.com%2Ft%2Fapp&cd=https%3A%2F%2Fapp.cocolog-nifty.com
- ----------------------------------------------------------------

発見者様の指摘は、上記ページからログインした後にリダイレクトされ
るページが http であることが問題という認識でよろしいでしょうか。

また、ココログのサーバと利用者のブラウザ間の通信経路上で通信が盗
聴されることが問題であるとの認識でよろしいでしょうか。

お手数ですが、上記の点について10営業日を目処にご回答いただければ
幸いです。よろしくお願いいたします。

------------------------------
脆弱性情報に関する連絡を行う際には、PGP公開鍵による
暗号化をお願いいたします。
https://www.ipa.go.jp/security/pgp/index.html
------------------------------
独立行政法人 情報処理推進機構 (IPA) セキュリティセンター
Mail vuln-info@ipa.go.jp
Web https://www.ipa.go.jp/security/
PGP AA98 654C 16E1 DBD9 8B36 3680 5C7A BE66 A975 EC3D
------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.8 (MingW32)

iD8DBQFKyUzKXHq+Zql17D0RAt8AAJ9k9QhTQIrn+QNzYu+cyjJjRrBHyACfVeWt
054WXFl4/ZaWxLFedAHGCXk=
=w5ZC
-----END PGP SIGNATURE-----


このメールの日付が、10/5。
内容は、まぁ、その通り。

後から考えると、報告した内容にあったURLをクリックし、報告内容の要点をまとめてみた、つまり、何の調査もされていない状態であり、とりあえず確認だけはしてみたという感はある。
いわゆる形式上というやつだ。


この時点では調査していようがいまいが、あまり関係は無いかも知れないけれど。

あとは、IPAってのは担当者の記載はない。
IPAとしての見解とみなして良いわけだ。


#担当者名が入っていたら、その担当者独自の見解という可能性も無いわけじゃない。

とりあえず俺の返信はこうだ。
名前だけは伏せておく。



独立行政法人 情報処理推進機構 (IPA)  セキュリティセンター 御中

[ふぅみん]です。
文中にて回答いたします。
#PGP暗号化必須でしたら申し訳ございません。

> - ----------------------------------------------------------------
> このメールは、取扱い番号 IPA#60026469 に関する連絡です。
> - ----------------------------------------------------------------
>
> IPAセキュリティセンターです。
>
> 届出情報からは、http://app.cocolog-nifty.com/t/app において SSL
> (HTTPS)が使用されていない点が問題であるとの指摘と認識しております。
> しかし、上記 URL にアクセスしたところ、下記の URL (@nifty会員用のロ
> グインページ)にリダイレクトされることを確認しました。
>
> - ----------------------------------------------------------------
> https://login.nifty.com/service/login?s=cocoapp&TARGET=http%3A%2F%2Fapp.coco
log-nifty.com%2Ft%2Fapp&cd=https%3A%2F%2Fapp.cocolog-nifty.com
> - ----------------------------------------------------------------
>
> 発見者様の指摘は、上記ページからログインした後にリダイレクトされ
> るページが http であることが問題という認識でよろしいでしょうか。

はい、そうです。

http へリダイレクトされることは問題である考えております。

> また、ココログのサーバと利用者のブラウザ間の通信経路上で通信が盗
> 聴されることが問題であるとの認識でよろしいでしょうか。

はい、そうです。

盗聴の危険性があることは問題であると考えております。

httpにより通信されるHTML(リンク先含む)には、到達可能な
メールアドレスやモバイル投稿の設定情報などが含まれ、
これを悪意を持って盗聴された場合、
・スパムメールの増加
・スパム投稿の発生
・ブログ改ざん
等の発生が可能性として考えられます。

なお、現システムの脆弱性とは切り離して考えるべきですが、
この問題が
・1ヵ月前までは存在しなかったこと
・アナウンス無しのシステム側変更により発生したこと
も大きな問題だと考えております。

以上、よろしくお願いいたします。

> お手数ですが、上記の点について10営業日を目処にご回答いただければ
> 幸いです。よろしくお願いいたします。
>
> ------------------------------
> 脆弱性情報に関する連絡を行う際には、PGP公開鍵による
> 暗号化をお願いいたします。
> https://www.ipa.go.jp/security/pgp/index.html
> ------------------------------
> 独立行政法人 情報処理推進機構 (IPA) セキュリティセンター
> Mail vuln-info@ipa.go.jp
> Web https://www.ipa.go.jp/security/
> PGP AA98 654C 16E1 DBD9 8B36 3680 5C7A BE66 A975 EC3D
> ------------------------------


まぁ、普通だな。
なるべく早期決着を期待したかったので、2時間以内での返信。

IPAのセキュリティ専門ならば、ちゃんと調べてくれるはず、と思っていた俺はバカだった。

つづく

|

« 終焉ノ弐~ソノ先が無いモノ~ | トップページ | 終焉ノ屍~超立派な張リボテ~ »

ウェブログ・ココログ関連」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

コメント

この記事へのコメントは終了しました。