携帯ブラウザのScopeに情報漏洩問題隠蔽の疑い 33
ストーリー by GetSet
包み隠さずにいこう 部門より
包み隠さずにいこう 部門より
scope_nanashi曰く、"ITmediaのPlanet Geek blogにて知ったが、
携帯ブラウザ「Scope」の PC メール機能のバグにより、
メール本文経由のURLアクセスでのリファラに
「pop3サーバ」「ユーザー名」「パスワード」が残ってしまうという
ことがあったらしい。この情報を元に、Scopeからその
漏洩した情報でメールを読めるわけで非常に致命的な欠陥
だったのだが、現在提供元のプログラマーズファクトリーが
配布しているバージョンでは修正されているとのことだ。
だが、
まとめサイトの情報によれば、問題はバージョンアップが
行われたことは公表されず、情報が漏れる可能性があったことに
ついても言及されていないということらしい。まとめサイトでは「事実隠蔽ではないか」との指摘もされており、既にImpressとITmediaに調査を依頼しているとのことだ。/.Jの皆さんに被害はないだろうか?"
いろんな問題点がごっちゃになってる... (スコア:5, すばらしい洞察)
a. Scopeのメール接続機能にバグがあり、アカウント情報・パスワードが漏洩した疑いがある。
- 新バージョンでは対処済み → 解決?
b. a. について、開発元からの情報提供がない
- アプリのバージョンアップで修復されたが、公式アナウンスがない
- バージョンアップは任意なので、旧バージョンでそのまま利用される恐れがある。
c. 掲示板などでa.を指摘した書き込みが削除された。
- 情報隠蔽にあたるのか?
このなかでa.については、(すべての元凶ではあれど)一応解決済みということでいいんですよね。
b,cについては、「情報隠蔽」ということであればそのことの是非、という話になるわけですが...
まあ公式アナウンスなり、ITmediaの取材結果なりを待ちたいところですね。
Re:いろんな問題点がごっちゃになってる... (スコア:3, 参考になる)
まだわかって無いですよ。
結局、「アプリのバージョンアップ」で対処したのか
「(ScopeProxy)サーバ側」で対処したのか。
それがわからないのが怖い。
携帯の技術的な背景を考えると
ProxyServerを直せば終わりだと思うけど
実際にはアプリのバージョンアップが(も?)必要?
ということは、やはり旧バージョンを使っている人は
今でも、駄々漏れ状態?
そこのところをはっきりと解答してほしいなぁ。
「サーバ側で対処いたしましたので、今後一切(旧バージョンも含めて)
情報漏えいは起こりません。」
なのか
「旧バージョンでは今後も情報漏えいがありますので、早急にバージョンアップをお願いします」
なのか。
Re:いろんな問題点がごっちゃになってる... (スコア:1, 参考になる)
>今でも、駄々漏れ状態?
ケータイWatchに書いてあります。
>編集部では8月5日、問題とされるバージョンを用いてアクセスを試みたが、
>既に同バージョンからのメール送受信機能は利用できない状況となっている。
Re:いろんな問題点がごっちゃになってる... (スコア:2, 参考になる)
Re:いろんな問題点がごっちゃになってる... (スコア:0)
> - 情報隠蔽にあたるのか?
削除した上にアクセス禁止ですからねぇ。
そんなことで隠し通せると思ってる辺り、非常に香ばしいですがね。
どーゆー会社/製品かなと (スコア:2, 参考になる)
エキサイト、携帯電話向けフルブラウザ「Scope」を独占提供 [nikkeibp.jp]
・一ヶ月前の記事ですが、携帯向けフルブラウザ市場の状況。
フルブラウザ戦争が勃発--デファクトを狙うアプリ事業者の戦い [cnet.com]
これ、プログラマーズファクトリの社長の写真まで出ちゃってますね。
外に出歩いているときにScopeユーザーから石投げられんといいけど。
ちなみにプログラマーズファクトリのサイト見たら、デザインはともかくとして
構成はHTML3.2でテーブルレイアウトという古典的なものでした。
Re:どーゆー会社/製品かなと (スコア:1)
#と、あえてこういう話題の時に言ってみる。
--
「なんとかインチキできんのか?」
Re:どーゆー会社/製品かなと (スコア:1, 興味深い)
> 構成はHTML3.2でテーブルレイアウトという古典的なものでした。
この文章の意図が判らないので教えて頂けますか?
Re:どーゆー会社/製品かなと (スコア:1)
こういうときはいつも、どういう会社なのかを判断する基準の一つとして、
Webサイトのデザインとか中身(HTMLの記述パターンや利用している技術等)を
見ています。
デザインは私が判断するには悪くないというか、いいんじゃないですかって
感じなんですが、人それぞれ好みというものがあるので、「ともかくとして」
と判断は保留。
HTMLは個人的にはいまどき3.2で書くなよなと思いますが、これもその会社独自の
方針はありますし、HTML3.2の仕様から激しく逸脱した記述をしているわけでも
ないので、特にケチつけるようなところもないなということで、こんな
ワケワカラン文章なンですよ。
ついでに付け加えると、特にSEOしてないようなのであまりやる気が感じられません
みたいな。
Re:どーゆー会社/製品かなと (スコア:1, 参考になる)
> 方針はありますし、HTML3.2の仕様から激しく逸脱した記述をしているわけでも
> ないので、特にケチつけるようなところもない
いえいえ、根本的にHTML3.2 では日本語の文字を使うことが出来ません。 [www.ne.jp]
Re:どーゆー会社/製品かなと (スコア:0)
>方針はありますし、HTML3.2の仕様から激しく逸脱した記述をしているわけでも
>ないので、特にケチつけるようなところもないなということで
なぜ隠す? (スコア:1, 参考になる)
1. セキュリティホールを見つけたので問題点を指摘した
2. 相手は隠蔽した
3. じゃあ実際に問題を起こしてやれば相手は動くだろう
という事態を招きかねないのだ。
って、どこかで聞いたような話だぞ!!!!
悪用対策 (スコア:0)
修正してから事後報告したほうが被害が少ないと思いますが。
Re:悪用対策 (スコア:4, 参考になる)
修正しても事後報告していないのが問題の一つかと。
それに、仮に公表しないのがひとつの対策だったとしても、
問題を指摘したユーザをアクセス禁止にしている [itmedia.co.jp]のは
ちょっとやりすぎに思えます。
Re:悪用対策 (スコア:3, すばらしい洞察)
今回はユーザーが意図せずに行う行為で情報が漏れてしまうので
公開しない事によるメリットは何も無いと思いますが
Re:悪用対策 (スコア:2, すばらしい洞察)
焦点はそうなってしまったあとの対応がまずかったということでは。
Re:悪用対策 (スコア:1, 参考になる)
>だが、 まとめサイトの情報によれば、問題はバージョンアップが行われたことは公表されず、
> 情報が漏れる可能性があったことについても言及されていないということ
Re:悪用対策 (スコア:1, すばらしい洞察)
修正バージョンへの入れ替えを案内せず、
危険な状態を放置しているのが妥当な措置といえるのか。
Re:悪用対策 (スコア:2, 参考になる)
iアプリはアプリをダウンロードしたサイト以外にアクセスができないので、ダウンロードしたサイトがproxyになっているはずです。
このproxyがリファラを付加していると思われるので、iアプリ側を修正しなくてもサーバ側だけの修正ですみそうです。
なので、古いアプリを使っていても現時点では問題ないのではないでしょうか。
Re:悪用対策 (スコア:0)
たかだか一社のアプリの問題の為にサーバ側をいちいち修正しなきゃいけないというのも管理者泣かせな話ですよね。
Re:悪用対策 (スコア:1)
サーバというのは、提供元のプログラマーズファクトリのサーバです。
自分のアプリのために自分のサーバを修正するは普通のことかと。
それと、アナウンスしない云々は同意です。アナウンスしなきゃあかんよね。
Re:悪用対策 (スコア:0)
# 私も情報漏洩についてはアナウンスすべきだと思います。
Re:悪用対策 (スコア:1)
拾えていれば、旧バージョン利用者にはアラートを出すみたいな芸くらいはできるんじゃないかなあ。
# 実際してるかどうかは存じません。
# それで十分かどうかも(ry
Re:悪用対策 (スコア:0)
・知らずに漏らし続けるユーザ
・漏らしたことを知らずにパスワード変更という当然の対策を取れないユーザ
のことを考えると公表するのが当然でしょう
最近流行りの価格メソッド的には隠すのが当然なんですかね
Scope? (スコア:0)
Scopeって携帯ブラウザだそうですけど、どうやって入手するブラウザなんでしょ?
どこかの端末にデフォルトで載っているのか、ユーザーが明示的にダウンロードするのか、ダウンロードするならプラットフォームは何なのか、等等。
影響範囲を判断するのには必要な情報なので、セキュリティホール報告には合わせてもらえるとありがたいです。
Re:Scope? (スコア:2, すばらしい洞察)
Re:Scope? (スコア:0)
なぜ載ってるのか考えてみてください。
Re:Scope? (スコア:0)
ただ言い方には問題があると思うので、ここで指摘すべきは
「遠まわしに言わずにはっきり言いたいことを言え」
ではないでしょうか。
Re:Scope? (スコア:0)
「脆弱性情報報告、ひいてはユーザー保護が目的ならば、重要な点が抜けている。ユーザー保護を意識しているなら忘れるはずはない。
本当の目的は、プログラマーズファクトリを罵りたいだけんじゃなないのか? ユーザー保護を隠れ蓑にして。」
となり、内容でなくて言い方で怒るような人はさらに怒っただけだと思われます。
Re:Scope? (スコア:1)
っ配布元 [programmer.co.jp]
Re:ITmediaも情報漏洩? (スコア:0)
ほら、ネットランナーとか。
#流石にフィルターかけ過ぎなのでAC