« [メモ] 仮想ディスクを入れ替えても、ディレクトリ構造が残ってる場合 | トップページ | そういや、XPモード(の恐らくRTM)が »

積極的自衛権の発動

超積極的自衛。
http://*.nifty.comをIE8の制限付きサイトに指定した。

制限付きサイトはCookieを飛ばさなかったりスクリプト無効になったり、不便なのだが、危険回避のためにやってみたところ、スタイルシートも無効化されて見栄えも変わる。

それでも、生htmlだけでほとんどのサービスは利用できる。
#あまり多くを利用しているわけでないけど。
あ、たぶんとかなんかそれ系なQ&Aサイトは使えなくなる。

・・・と思っていたが、マイニフティのログインで失敗することが判明。
ログオン成功して、http://my.nifty.com/myにリダイレクトするのはいいんだけど、それでCookieが無いことを原因とするのだろう、再度認証に飛ばそうとする。
でも、認証画面はhttpsだからCookieが飛んで認証が成功する。
再度httpへのリダイレクトが発生。
無限リダイレクトループ・・・

ここで推察されるのは、httpで認証成功状態を示す何らかのCookieを何飛ばしてるのでは?ということ。
フラグ程度ならいいんだけど、その後、認証済み情報へのアクセスが成功するわけだから、結構ヤバいデータだと思うんだけど、どうかなぁ・・・
解析すればするほど不安になるから解析したくねぇ。
解析しなくても不安は解消されないけどさ。
安心する説明、誰かしてくれよぉ。

不安はさておき、無限ループに対する、回避策はある。
そのブラウザを閉じずに、https://my.nifty.com/my/?nwsThough=1へアクセスすれば、認証成功情報は残っているので、正常アクセスできる。
#事前に、httpsでアクセスする設定にして、設定値のCookieをつくっておく必要がある。
この、nwsThough=1ってのが各サービス開始時のキーになってるらしいけど、よくわからん。
なぜ、この情報もCookieから取得しないのか・・・

因みに、WEBメールはデフォルトhttpsなので、httpへのリダイレクトが起こらない。
この動きは、ココログ管理ページへのログインがhttpへリダイレクトされたときのniftyの説明と反するわけだが。
つまり、無限リダイレクトループも発生しないので、最初にWEBメールを利用し、そのWEBメールか他サービス(ただし、httpsに限る)へ移動する分には、ノープロブレム。
#ただし、やはり?nwsThough=1が無い場合に無限ループが起こる場合がある。
#あと、Cookieに有効期限があるものが含まれているのか、結局何回かリダイレクトループさせる必要がある場合があるようだ。

ま、不便っちゃー不便だが、攻撃者(盗聴者)にCookie盗まれてやりたい放題されるよりマシ。
#真のクラッカーはその痕跡すら残さないとか言われるけど、Cookie盗まれた場合の済ましアクセスの痕跡ってアクセスログくらいしか残らんじゃないのか?
#そして、nifty側にアクセスログ解析能力や再現能力を期待してはいけない(これは問い合わせから判断できた事実)。

cocolog-nifty.comも同様な対策をやっちゃうと、使い物にならなくなるというか、もぅ無理。
いろんな情報がダダ漏れなのです。
APIはSSLだから、API経由で完全制御できるツールって無いもんかな・・・

|

« [メモ] 仮想ディスクを入れ替えても、ディレクトリ構造が残ってる場合 | トップページ | そういや、XPモード(の恐らくRTM)が »

ウェブログ・ココログ関連」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

コメント

この記事へのコメントは終了しました。