« どこでも検索 | トップページ | 自作Excelアドイン関数のXLLがベクター登録でダウンロード可能に。MD5対応版 »

またココログ管理サイトのことについてだけどさ・・・・ココログ管理サイトって、先月からセッションハイジャック対策できてないらしいって、知ってた?

マジ、やばいって。

まず、セッションハイジャックができるかどうか確認する方法を考えてたんだけど、ひょっとして、Cookieさえ同じなら何とかなるんじゃ?って思ったのがこの記事の始まりだ。

暗号化されていなければ、Cookie採取は簡単だよね、っていうか、リクエストヘッダ丸ごと採れるよ。
80番アクセス(HTTP)ならtelnetで十分。

パケット採取ツールで GET /t/~ のGETアクセスだけ抜き取って(※1)、ファイルダンプ。それを別マシンでtelnet接続したコマンドプロンプト(※2)に流しこんだら、200レスポンス(※3)と共に内容垂れ流しを確認しますた!
・・・あぁぁぁぁ、セッションハイジャックできちゃうじゃん。

※1: パケット内容に”GET /t/”でstrstr検索かけて、発見したら、そこからを選択ダンプしてみた。
※2: telnet app.cocolog-nifty.co.jp 80 で接続できたらダンプ内容全部をコピペ。
※3: レスポンスステータス200は正常リクエストに対する正常レスポンスですという意味。

「ワンタイムパスワードでも防げない」、ブラウザーの乗っ取りが急増 - ニュース:ITpro
とか言われてるのに。

試しに、Accept-Encoding: gzip, deflate の gzip, deflate 部分を削除したら、HTMLテキストがそのまま流れて来たのも確認済み。

ま、重要データをココログ管理サイトに保管してたりはしないだろうけど、隠蔽しておきたい情報なんかはあると思うんだ。
※未検証だけど、記事改ざんの可能性もあり。

リクエスト情報をコピーするだけで、別のマシンから同じ内容を受け取ることができちゃうってことは、仮に、今の非SSLの状態のまま、レスポンスだけを暗号化できたとしても、何の解決にもならんってことだと思う。
それだけは、わかった。

今回試したのはtelnetだけど、仮にリクエスト情報をコピペできる専用のブラウザとかを用意すれば、Cookieを複製するなんて余裕だろうし、そしたら、もしかすると、今、SSL接続してると思ってる@niftyの他のサイトにもアクセスできちゃうんじゃなかろうか。
#たとえば、Webメールとか、マイキャビとか・・・。

まさか、適切な対策をしてると豪語しているのに、こんなに分かりやすいことは無いと思うんだけど、Cookieに含まれるSSOxx(一応伏字にしておくね)から始まる文字列が鍵になってるとか、ないよね?
#SSOはシングルサインオンの略。でも、ほとんどの場合、「サインイン」とか「ログイン」なんだよね・・・

って俺、悠長なこと書いてるよなぁ。
IPA報告レベルを超えてるような気もするなぁ。
引っ越し先探さなきゃ・・・
マイニフティとかもデフォルトhttpだから何かヤバいかも知れない予感が今ここに!!

ただ、今回のこの結果は、認証だけSSLにしておけば、あとはCookieだけに頼りきって、SSLじゃないのに個人情報丸出しでいいって考えなのかどうなのか知らんけど、そういうサイトって結構あると思うので、ココログ管理サイトに限ったことじゃないけどな。

にしても、適切な対策とか、回答?に書かれてたけど、それって、一体何なんだろうね。

|

« どこでも検索 | トップページ | 自作Excelアドイン関数のXLLがベクター登録でダウンロード可能に。MD5対応版 »

ウェブログ・ココログ関連」カテゴリの記事

パソコン・インターネット」カテゴリの記事

コメント

ふぅみんさん、こんにちは。
コメントありがとうございました。
私以外にもこの件に納得できない方がいるとわかって、心強いです。

しかし、まったくひどい仕様変更ですよね。今年前半のgumblar騒動などもありネットの安全性が問われている中でセキュリティレベルを下げるなんて、信じられません。しかも、ログイン直後のリダイレクトメッセージが出ないように改めて細工するなど、悪質です。
メールの方は現在もhttpsのまま作業できるので、どうせ公開するのだからブログの方は暗号化しなくてもいいだろう、という考えなのでしょう。これで幾らコスト削減できるのかわかりませんが、今回の仕様変更で@niftyが失ったものは大きいと思います。

投稿: excomp | 2009/10/07 13:21

ふぅみんさん、こんにちは。

IPAの件は残念でした。
個人情報の取り扱いには通信の暗号化が明記されていないから、というのはおかしな理由です。事業者には個人情報が漏洩しないよう対策する義務があるはずです。
ネットワークに盗聴の恐れがあることは一般に知られていることで、だからこそそれを利用する事業者は然るべき対策をとらなければなりません。以前は、電話番号などの個人情報を企業・官公庁がハガキで送っていましたが、漏洩の問題が明らかになってからは封書なりシールを貼るなりの対策を行っています。それと同じことだと思います。
加えて、IPAの理屈だと、メール管理画面も暗号化しなくても良いということですね。「通信の秘密」はどうなるのでしょうか?

ところで、昨日、ココログ管理画面のコントロールパネルも暗号化されていないことがわかりました。@niftyIDやメールアドレスなどが盗聴される恐れがあります。@niftyにはすぐに問い合わせましたが、IPAによると、こういった非公開の情報が漏れてしまっても仕方ないということなのでしょうね。

さて、到底納得できないものの、一応IPAの回答が出たわけですが、コメントを公開しても良いですか?

投稿: excomp | 2009/10/08 10:24

この記事へのコメントは終了しました。

« どこでも検索 | トップページ | 自作Excelアドイン関数のXLLがベクター登録でダウンロード可能に。MD5対応版 »