Hotmailのクッキーでアカウント乗っ取り 19
ストーリー by yourCat
クッキーの食べすぎに注意 部門より
クッキーの食べすぎに注意 部門より
nyaonyao曰く、"HotWiredの記事によると、MSNホットメールで使用する主要なクッキー2つを盗まれると無制限に自分のアカウントを利用されてしまうというセキュリティホールがあるそうです。
どうも、クッキーを主要な認証機能に使っているらしく、パスワードを変更しても防御できないようです、って何のためのパスワードなんでしょうか?"
Hotmailに限らず、クッキーを使った認証維持全般に関わる危険性だ。最近とみに話題になるXSS問題もあり、クッキーに対する認識を今一度改める必要があるだろう。
しかし、上司の不正アクセスから分かったというのもひどい話だ。
Cookieの認知度 (スコア:3, すばらしい洞察)
cookieはかなり重要なものであるけれど、一般の人の多くは「クッキーって何?」という認識のように思います。ましてcookieが盗まれると危険だということは知る由もない。
考えてみれば、多くの人が使っているWebブラウザではデフォルトですべてのcokkieを受け付ける設定になっているので、デフォルトの設定で使い続けるような人にとっては裏でcookieがやりとりされていることに非常に気付きにくい仕組みになっていますね。
cookieについてあまり知られていないことをいいことに、ユーザ側の安全性を考えずにcookieをいい加減に使っているWebサイトが多いように思います。異様に有効期限の長いcookieも多く、またドメインが"co.kr"なんていうのも見たことがあります。今回のMSNの一件も利便性を考えるあまり安全性について考えることがおろそかになってしまったように思います。
cookieとはどういうものか、ということについて広く知らしめることが必要なのかも知れませんね。
Re:Cookieの認知度 (スコア:1, 興味深い)
それに、ドメインが「co.kr」だと何がマズいのかもよくわかりません。
cookieの一番の問題点は「存在が知られていない」ことではなくて、「誤解されがち」なところではないかと。
Re:Cookieの認知度 (スコア:1, 参考になる)
CookieMonsterのことかな。
有効ドメインが「co.kr」とかにしてあると
www.hogehoge.co.kr
www.nanigashi.co.kr
www.fugafuga.co.kr
みたいにco.kr全域でどこでも有効になっちゃうcookieが出来るという罠。
Re:Cookieの認知度 (スコア:1, 参考になる)
/.J も有効期限が1年間みたいだけどこれ等も異様に長いと思うのですが、識者からみていかがですか?
ちなみに、ZDNetはなんと2037年12月30日まで有効なんてことになってますね。
でも、基本的にはcookieってセットしたドメインからしか読み取れないというのが仕様では無かったでした?
利用者はそれを前提に使用していると思っていましたけど、そこにセットしたドメイン以外のデータが読み出せるという穴があるから危険だという事ですよね?それはブラウザの責任であり、cookieが悪いわけでは無いと思うのですが・・・
# cookie自体は個人を限定する有効な手段だと私は思っていますが、こういう考えって危険でしょうか?
Re:Cookieの認知度 (スコア:3, 参考になる)
その旨アナウンスがあったとおもいましたから、別にいいのでは? とおもいます。
私はここのクッキーをその都度廃棄してログインしなおしてますけど。
| でも、基本的にはcookieってセットしたドメインからしか読み取れないというのが仕様では無かったでした?
そのとおりだとおもいます。
その実装が忠実であれば、オンラインバンキングのパスワードを入れたって問題ないんでしょうが実際問題として実装に穴があって漏洩してしまうので、その手のものをcookieに入れるのは末恐ろしい。だから漏洩しても即脅威とならないものを入れましょう、という話でしょう。
セッション限りのcookieと、仰られたあほんだらな有効期限のcookieのがごっちゃにされて全部まとめて「なんとなくcookieは危険」という誤解からくる弊害のほうが逆に危険かと。
※有効期限に対する不安に対しても「当サイトで設定されたcookieを消去する場合はこちら」みたいなリンクを用意するだけで随分と変わってくるかとおもうのですが…。
オンラインショッピングなどで接続者を特定する仕組みがどうしても必須なばあいにおいてcookieは非常に有用な手段なのは仰るとおりだと思います。安直な濫用を肯定するつもりはありませんが。
Mozillaのヘルプには「Why Reject Cookies」の記述が (スコア:0)
拒否しなければらなないか?)」という記述があります。
Mozilla オリジナルのヘルプはこれ。
http://lxr.mozilla.org/mozilla/source/extensions/help/resources/l
もじら組の日本語パックに含まれているものは、日本語パックを
インストールした後に chrome ディレクトリ内にある
URLが途切れてました。 (スコア:0)
http://lxr.mozilla.org/mozilla/source/extensions/help/resources/locale... [mozilla.org]
/.Jでも (スコア:2, 参考になる)
/.Jだって、パスワード変更 [srad.jp]画面でセッションログインを「1年後に破棄」としているユーザーについては、Cookieさえ手に入れれば向こう1年間はそのユーザーのふりをしてやりたい放題です。…/.J上でできることなんてたかが知れてますが…(笑)
Cookieではなくとも (スコア:2, おもしろおかしい)
他の仕組みを考えるならば、今度はそこにセキュリティホールが発見されることもあるだろうし、簡単にはいかないだろうしね。
Cookieに似た、よりセキュリティの高い、新しい仕組みの名前?
Senbei
だと思うなぁ。
なんちゃって。
Re:Cookieではなくとも (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
オフトピかなぁ (スコア:1)
GaiaX [gaiax.com]のシステムなんかは最近の足跡
というのが残ったりしてて、それを辿って他のGaiaX系ユーザーのページ
へ行けるようなのですが、かなり混乱するんです。
クッキーは共通っていうことなんだとおもうんですが、全く別の
(会社の)サービスから登録したユーザーでもLogが勝手に記録されて
たりするのが売りのサービスなんでしょうか?
登録時にそんな確認はされなかったような・・・
いや、まだ把握できないんですが。。。
taka4
えーと(愚考気味) (スコア:1)
と、いうように、しなければ成らないと言う事かの。
#サイト側、ブラウザ側=重大さは、ほぼ等価で利用率で若干差が出るくらい…か?
#cookieを盗まれる穴、盗まれたcookieを使える穴=重大さの差は…よく分からん。
#関連ストーリ [srad.jp]
Cookieの使い方 (スコア:1)
まず、セッションをキープするためのCookieの場合
sessionidを生成->ブラウザに渡す
アプリケーション側ではそのcookieを使ったアクセスがあった場合
そのsessionのtimestampを更新
一定時間以上古いsessionはどんどん破棄する
破棄をきちんと行えば、別にcookie自体の有効期限は
ルーズでもいいでしょう
次、ログイン状態をキープするためのCookieは
これを全てcookieで行うと、cookieが漏洩した場合防ぎようが無い
だから、ログイン時に選べるようにする(自己責任)
/.もそうなってますね
Re:Cookieの使い方 (スコア:1)
元記事を読むと、
とあるので、これは問題ですな
先程書いたsessionのインスタンスに、ログイン時に入力した
パスワードを保持しておいて、
現在のパスワードとの比較をするようにすれば、
cookieが盗まれても、すぐにpasswordを変更すれば助かります
Re:Cookieの使い方 (スコア:0)
君自身でパスワードは管理してね♪
でもそれは君にも秘密♪
ッテ事か?
ちがうよ (スコア:1)
だから、そのcookieを横どってしまうと、サーバーの方は「あ、こいつはパスワード正しく打ち込んだな」って誤解するわけ。このことはこのサイトだってそう。
※ここでそのcookieの有効期限を「ブラウザの終わり」にしておくと、ブラウザを閉じるとcookieが消えるから、横取られる可能性が少しさがるの。
で、そのcookieの内容をパスワードを元にしておいたようなものにしておくと、サーバーで管理しているパスワードとの比較が出来るでしょ?
そうすると万が一cookieが盗まれても、直後にパスワードを変更すれば盗まれたcookieとサーバーで管理しているパスワードと一致しなくなるから、「あ、このcookieはおかしいcookieだ」とサーバーが判断できるようになるわけ。
だけど、cookieの内容がパスワードそのままだと横取られた時に洒落にならないから、暗号化したパスワードとかにした方がいいね、ってハナシ。
※同じコトはこのサイトでもやってるよ。ここのサイトのcookieの内容って「ユーザー名=パスワードにMD5適用したもの」みたいだから。
Re:ちがうよ (スコア:1)
×ここのサイトのcookieの内容って「ユーザー名=パスワードにMD5適用したもの」
○ここのサイトのcookieの内容って「ユーザーid::パスワードにMD5適用した(と推測される)もの」
クッキーの取得 (スコア:1)
そのhtmlの中に特定のクッキーの内容を適当なサーバーに送信するようにする。
で、そのクッキーを利用して相手のメールを見れるんじゃないかと思ったんですけど
どうなんでしょう?
李 露星
Re:クッキーの取得 (スコア:1)