パスワードを忘れた? アカウント作成
Close
2956 story

Hotmailのクッキーでアカウント乗っ取り 19

ストーリー by yourCat
クッキーの食べすぎに注意 部門より

nyaonyao曰く、"HotWiredの記事によると、MSNホットメールで使用する主要なクッキー2つを盗まれると無制限に自分のアカウントを利用されてしまうというセキュリティホールがあるそうです。
どうも、クッキーを主要な認証機能に使っているらしく、パスワードを変更しても防御できないようです、って何のためのパスワードなんでしょうか?"

Hotmailに限らず、クッキーを使った認証維持全般に関わる危険性だ。最近とみに話題になるXSS問題もあり、クッキーに対する認識を今一度改める必要があるだろう。
しかし、上司の不正アクセスから分かったというのもひどい話だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Hotmailのクッキーでアカウント乗っ取り More

  • Cookieの認知度 (スコア:3, すばらしい洞察)

    by thor (5250) on 2002年05月08日 16時01分 (#90552) 日記

    cookieはかなり重要なものであるけれど、一般の人の多くは「クッキーって何?」という認識のように思います。ましてcookieが盗まれると危険だということは知る由もない。

    考えてみれば、多くの人が使っているWebブラウザではデフォルトですべてのcokkieを受け付ける設定になっているので、デフォルトの設定で使い続けるような人にとっては裏でcookieがやりとりされていることに非常に気付きにくい仕組みになっていますね。

    cookieについてあまり知られていないことをいいことに、ユーザ側の安全性を考えずにcookieをいい加減に使っているWebサイトが多いように思います。異様に有効期限の長いcookieも多く、またドメインが"co.kr"なんていうのも見たことがあります。今回のMSNの一件も利便性を考えるあまり安全性について考えることがおろそかになってしまったように思います。

    cookieとはどういうものか、ということについて広く知らしめることが必要なのかも知れませんね。

    • Re:Cookieの認知度 (スコア:1, 興味深い)

      by junya (192) on 2002年05月08日 16時54分 (#90569)
      まあ、有効期限の長い(2037年とか)cookieには、クライアントPCの時刻が狂っている場合を考慮しているというケースもありますから、有効期限が長い=悪というわけでもないでしょう。実際の有効期限を値で持たせて、アプリケーション側でチェックしていれば特に問題無いでしょうし。
      それに、ドメインが「co.kr」だと何がマズいのかもよくわかりません。

      cookieの一番の問題点は「存在が知られていない」ことではなくて、「誤解されがち」なところではないかと。
      シェア
      親コメント

      • Re:Cookieの認知度 (スコア:1, 参考になる)

        by Anonymous Coward on 2002年05月08日 17時29分 (#90586)
        >それに、ドメインが「co.kr」だと何がマズいのかもよくわかりません。

        CookieMonsterのことかな。
        有効ドメインが「co.kr」とかにしてあると

        www.hogehoge.co.kr
        www.nanigashi.co.kr
        www.fugafuga.co.kr

        みたいにco.kr全域でどこでも有効になっちゃうcookieが出来るという罠。
        シェア
        親コメント

    • Re:Cookieの認知度 (スコア:1, 参考になる)

      by Anonymous Coward on 2002年05月08日 16時57分 (#90570)
      > 異様に有効期限の長いcookieも多く...

      /.J も有効期限が1年間みたいだけどこれ等も異様に長いと思うのですが、識者からみていかがですか?

      ちなみに、ZDNetはなんと2037年12月30日まで有効なんてことになってますね。

      でも、基本的にはcookieってセットしたドメインからしか読み取れないというのが仕様では無かったでした?
      利用者はそれを前提に使用していると思っていましたけど、そこにセットしたドメイン以外のデータが読み出せるという穴があるから危険だという事ですよね?それはブラウザの責任であり、cookieが悪いわけでは無いと思うのですが・・・
      # cookie自体は個人を限定する有効な手段だと私は思っていますが、こういう考えって危険でしょうか?
      シェア
      親コメント

      • Re:Cookieの認知度 (スコア:3, 参考になる)

        by es++ (5434) on 2002年05月08日 17時50分 (#90593) 日記
        | .J も有効期限が1年間みたいだけどこれ等も異様に長いと思うのですが、識者からみていかがですか?

         その旨アナウンスがあったとおもいましたから、別にいいのでは? とおもいます。
         私はここのクッキーをその都度廃棄してログインしなおしてますけど。

        | でも、基本的にはcookieってセットしたドメインからしか読み取れないというのが仕様では無かったでした?

         そのとおりだとおもいます。
         その実装が忠実であれば、オンラインバンキングのパスワードを入れたって問題ないんでしょうが実際問題として実装に穴があって漏洩してしまうので、その手のものをcookieに入れるのは末恐ろしい。だから漏洩しても即脅威とならないものを入れましょう、という話でしょう。

         セッション限りのcookieと、仰られたあほんだらな有効期限のcookieのがごっちゃにされて全部まとめて「なんとなくcookieは危険」という誤解からくる弊害のほうが逆に危険かと。
        ※有効期限に対する不安に対しても「当サイトで設定されたcookieを消去する場合はこちら」みたいなリンクを用意するだけで随分と変わってくるかとおもうのですが…。

         オンラインショッピングなどで接続者を特定する仕組みがどうしても必須なばあいにおいてcookieは非常に有用な手段なのは仰るとおりだと思います。安直な濫用を肯定するつもりはありませんが。
        シェア
        親コメント
    • Mozilla のヘルプには「Why Reject Cookies?(なぜクッキーを
      拒否しなければらなないか?)」という記述があります。

      Mozilla オリジナルのヘルプはこれ。
       http://lxr.mozilla.org/mozilla/source/extensions/help/resources/l

      もじら組の日本語パックに含まれているものは、日本語パックを
      インストールした後に chrome ディレクトリ内にある

  • /.Jでも (スコア:2, 参考になる)

    by k3c (4386) on 2002年05月08日 17時11分 (#90579) ホームページ 日記
    これって別にHotmailに限った話でもないような。要はCookieの使い方/使われ方に気をつけよう、ということ。

    /.Jだって、パスワード変更 [srad.jp]画面でセッションログインを「1年後に破棄」としているユーザーについては、Cookieさえ手に入れれば向こう1年間はそのユーザーのふりをしてやりたい放題です。…/.J上でできることなんてたかが知れてますが…(笑)

  • Cookieではなくとも (スコア:2, おもしろおかしい)

    by Futaro (2025) on 2002年05月09日 1時24分 (#90728) ホームページ 日記
    本質的に、Cookieそのものではなくとも、ユーザの使用している端末をサーバ側で特定しようとしたら、結局は同じような仕組みを使うことになると思うから、Cookieを暗号化したりしても、あまり意味はない気がします。

    他の仕組みを考えるならば、今度はそこにセキュリティホールが発見されることもあるだろうし、簡単にはいかないだろうしね。

    Cookieに似た、よりセキュリティの高い、新しい仕組みの名前?

    Senbei

    だと思うなぁ。

    なんちゃって。

    • Re:Cookieではなくとも (スコア:1)

      by sakamoto (8009) on 2002年05月09日 17時25分 (#91086) 日記
      URL や、FORM の Hidden 属性に ワンタイムパスワードを入れればいいと思うんだけど。 まあ、アクセスごとに使い捨てになってしまうのと、 ブラウザの属性ではなく、ページの属性になるので、 ブラウザの所有者への権利の委譲とかが解決できるわけじゃ ないけど。
      --
      -- 哀れな日本人専用(sorry Japanese only) --
      シェア
      親コメント

  • オフトピかなぁ (スコア:1)

    by nisi (6390) on 2002年05月08日 18時13分 (#90604) 日記
    クッキー&セキュリティ問題と関係あるかどうかわからんですが、
    GaiaX [gaiax.com]のシステムなんかは最近の足跡
    というのが残ったりしてて、それを辿って他のGaiaX系ユーザーのページ
    へ行けるようなのですが、かなり混乱するんです。
    クッキーは共通っていうことなんだとおもうんですが、全く別の
    (会社の)サービスから登録したユーザーでもLogが勝手に記録されて
    たりするのが売りのサービスなんでしょうか?
    登録時にそんな確認はされなかったような・・・
    いや、まだ把握できないんですが。。。
    --
    taka4
  • とりあえず、
    • 盗まれても他人に使えない
    • 盗まれる穴は見つけ次第塞ぐ
    • 簡単に解読できないように暗号化
    • 必要最低限の記録内容と使用数
      と、いうように、しなければ成らないと言う事かの。

      #サイト側、ブラウザ側=重大さは、ほぼ等価で利用率で若干差が出るくらい…か?
      #cookieを盗まれる穴、盗まれたcookieを使える穴=重大さの差は…よく分からん。
      関連ストーリ [srad.jp]

  • Cookieの使い方 (スコア:1)

    by monalisa (871) on 2002年05月09日 2時22分 (#90744) 日記
    当り前の事ですが、、、
    まず、セッションをキープするためのCookieの場合

    sessionidを生成->ブラウザに渡す
    アプリケーション側ではそのcookieを使ったアクセスがあった場合
    そのsessionのtimestampを更新
    一定時間以上古いsessionはどんどん破棄する
    破棄をきちんと行えば、別にcookie自体の有効期限は
    ルーズでもいいでしょう

    次、ログイン状態をキープするためのCookieは
    これを全てcookieで行うと、cookieが漏洩した場合防ぎようが無い
    だから、ログイン時に選べるようにする(自己責任)
    /.もそうなってますね

    • Re:Cookieの使い方 (スコア:1)

      by monalisa (871) on 2002年05月09日 2時30分 (#90746) 日記
      自己レスです
      元記事を読むと、
      いったんクッキーを盗まれたら、永久にアカウントを使用されてしまうことだ。たとえパスワードを変えても、犯人には入り込む術がある
      とあるので、これは問題ですな
      先程書いたsessionのインスタンスに、ログイン時に入力した
      パスワードを保持しておいて、
      現在のパスワードとの比較をするようにすれば、
      cookieが盗まれても、すぐにpasswordを変更すれば助かります
      シェア
      親コメント

      • Re:Cookieの使い方 (スコア:0)

        by Anonymous Coward
        サーバーでパスワード管理したくないから、クッキーに書いて送っちゃった♪
        君自身でパスワードは管理してね♪
        でもそれは君にも秘密♪

        ッテ事か?

        • ちがうよ (スコア:1)

          by es++ (5434) on 2002年05月09日 12時45分 (#90933) 日記
           こいつは正しくパスワードを打ち込んだよ、って証明の為にパスワードが正しく打ち込まれた後にそういう趣旨のcookieを送るの。
           だから、そのcookieを横どってしまうと、サーバーの方は「あ、こいつはパスワード正しく打ち込んだな」って誤解するわけ。このことはこのサイトだってそう。

           ※ここでそのcookieの有効期限を「ブラウザの終わり」にしておくと、ブラウザを閉じるとcookieが消えるから、横取られる可能性が少しさがるの。

           で、そのcookieの内容をパスワードを元にしておいたようなものにしておくと、サーバーで管理しているパスワードとの比較が出来るでしょ?
           そうすると万が一cookieが盗まれても、直後にパスワードを変更すれば盗まれたcookieとサーバーで管理しているパスワードと一致しなくなるから、「あ、このcookieはおかしいcookieだ」とサーバーが判断できるようになるわけ。
           だけど、cookieの内容がパスワードそのままだと横取られた時に洒落にならないから、暗号化したパスワードとかにした方がいいね、ってハナシ。

           ※同じコトはこのサイトでもやってるよ。ここのサイトのcookieの内容って「ユーザー名=パスワードにMD5適用したもの」みたいだから。
          シェア
          親コメント

          • Re:ちがうよ (スコア:1)

            by es++ (5434) on 2002年05月09日 12時59分 (#90950) 日記
            ちょっと訂正
            ×ここのサイトのcookieの内容って「ユーザー名=パスワードにMD5適用したもの」
            ○ここのサイトのcookieの内容って「ユーザーid::パスワードにMD5適用した(と推測される)もの」
            シェア
            親コメント

  • クッキーの取得 (スコア:1)

    by Li Luxing (7797) on 2002年05月09日 15時29分 (#91022)
     最近、思っていたんだけどWebメールにhtmlメールを送って
    そのhtmlの中に特定のクッキーの内容を適当なサーバーに送信するようにする。
     で、そのクッキーを利用して相手のメールを見れるんじゃないかと思ったんですけど
    どうなんでしょう?
    --
    李 露星

    • Re:クッキーの取得 (スコア:1)

      by jbeef (1278) on 2002年05月17日 22時10分 (#94671) 日記
      その通りです。過去数年来Hotmailに何十回となく指摘されてきた問題がそれです。他のWebメールでも当然同じ対策が必要ですが、現状がどうなのかということについては…言わないでおきます。この問題は一斉に洗い出しする必要があると考えておりますので、しばしお待ちを。
      シェア
      親コメント
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs