Gmailに他人のメールを表示してしまうバグ 46
ストーリー by GetSet
結局まだβな訳だし 部門より
結局まだβな訳だし 部門より
78K曰く、"CNET Japan の記事によると、Gmail に他人のメールを閲覧できてしまうバグが存在していた模様。現在ではこのバグは修正されているが、どれくらいの期間このバグが存在していたかは不明だという。発見したのは HBX Networks UNIX Community Group のメンバーの二人で、送信元アドレスの最後に > を付け忘れたことでこの問題が発覚したらしい。より詳しくは発見者のレポートを参照して頂きたい。
Gmail の招待権を知り合いにばら撒くのも考えもの…??"
部門名が全てかなあ (スコア:2, 興味深い)
提供されている段階だが、Gmailに依存しているユーザーも多い。」
と書いてあることが、事実だとしたらかなり驚きです。
Re:部門名が全てかなあ (スコア:2, おもしろおかしい)
例えば、個人情報が流出したとしても、
「さすがだ。そんなことまでぐぐれるのか」と感心されそうだし。
--
「なんとかインチキできんのか?」
Re:部門名が全てかなあ (スコア:0)
感心というより皮肉でしょう(笑
Re:部門名が全てかなあ (スコア:1, すばらしい洞察)
たとえばMSNが新規メールサービスをベータで立ち上げていたとして
このような優しい言葉が出たかどうか?
正直なところ、いくらβとはいえ、コミュニケーションツールにおいて
他人の通信が誰でも読めてしまう事態が発生したというのは
かなりクリティカルで、サービスイン後も要注意だと思います。
Re:部門名が全てかなあ (スコア:1)
志村ー!Hotmail! Hotmail!
Re:部門名が全てかなあ (スコア:0)
MicrosoftがHotmailをベータで運営したことは無いと思いますが。
Livedoorギガメーラでこれ起きてたとしたら、どうだったろうな。部門名とかな。
Re:部門名が全てかなあ (スコア:0)
指摘のメール出したけど変事来なかったっけ。
で、いつの間にか治ってたっけ。
Re:部門名が全てかなあ (スコア:1, 参考になる)
Gmail Maniacsで同様のトピックを見掛けましたので張っておきます。
内容の真偽については各自で判断下さい。
http://www.gmail-maniacs.net/news/000252.html
Gmail ユーザーなのでACで。
修正された模様 (スコア:2, 参考になる)
なお、こうしたセキュリティ問題は security@google.com へ送ってほしいそうです。
Re:修正された模様 (スコア:0)
でも、このコメントには時刻とセキュリティ問題絡みの追加があるから有用なのかな。
もしかして・・・ (スコア:2, おもしろおかしい)
# 古い穴にドキドキ・・・
Re:もしかして・・・ (スコア:0)
#無粋は承知のAC。
Re:もしかして・・・ (スコア:0)
もはや定番 (スコア:1)
他のWeb mailサービスにも大体同じような欠陥があったそうですが、「セキュリティが気になるならWeb mailは使うな」でFAなんでしょうか?
Re:もはや定番 (スコア:2, 参考になる)
Webメール一般の話をすると、そもそものサービスのベースとなるWebサービスの部分でPHPなどで脆弱性がポツポツ発見されたりしてますから、今回のGMailのようなコーディングの単純ミスの部類に入るものがなくても結局安心できないというのがホントのとこではないでしょうか。
でも普通(POP3/SMTP)のメールサービスも、暗号化されてないと信頼性が低いわけで、PGPとかSSLとか使わないといかんですよね。
普通のメールでも実はWebで閲覧できるようになってますみたいなサービスもあるし全くもって油断できない世の中です。
また、メーラーのバグも多々あるわけで、メジャーマイナー問わず、危険は常にあるわけです。Windowsだと、Outlook系は論外としても、Becky!に鶴亀メールにShurikenに後なんかあったっけか、割と致命的なバグは沢山でてますから、結局セキュリティが気になる人はOSもソフトもサービス提供元も厳選しないといかんてのがFAぽいですね。
Re:もはや定番 (スコア:1)
>Shurikenに後なんかあったっけか、割と致命的なバグは沢山
>でてますから、
一応自己フォローしとくと、見つかったバグはとりあえず修正されているようですけどね。ほとんどの場合。
修正 (スコア:2, 参考になる)
高木浩光@自宅の日記 2004年10月30日 [takagi-hiromitsu.jp]
高木浩光@自宅の日記 2004年11月27日 [takagi-hiromitsu.jp]
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:修正 (スコア:0)
んで、その仕様を作者が問題ないと信じる限りは、
そのソフトには脆弱性はないと言うことなのでしょう。
基本的に無責任なフリー系はこの手の罠がたくさんあるでしょうから、
使う人は
Re:もはや定番 (スコア:1)
よけいなつっこみですが、PGPとかS/MIMEとかですよね
メールサーバー間はまだまだSMTP over SSLで送信されているわけではないので、End-To-Endで保証するのであれば、送受信者が暗号化するのが安全なのが現状です
ただ、PGPもS/MIMEもまだまだ一般的ではないんですよねぇ
S/MIMEの証明書も安くなってきてるので(210円/月くらい?)
もう少し普及すれば使えるようになるのでしょうが..
相手が対応してくれないと、効果半減なのがつらいところです
またメールをWeb閲覧できる場合、現在のプロバイダーだとほとんどがSSL対応ページになっていると思います。
なので、Webだから油断出来ないと言うわけではないです
もっともWebメーラー使うときは、SSL対応かどうか位は確認する必要は有るでしょうけど
Re:もはや定番 (スコア:0)
無料でS/MIME証明書取れるところもあるんだし。
Re:もはや定番 (スコア:1)
暗号化していないメッセージを送るな」でしょう。
もともとSMTPにしろPOPにしろセキュリティの概念なんて
気にして作ったものじゃないから、仕方がないです。
他人に自分のメールアドレスが詐称されるとか、
正体不明なアドレスからメールが届くとか
穴は山ほどありますから、メッセージを
暗号化して署名を付けるという運用で
対処するしかないと思います。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
添付ファイルも読まれる可能性があったのかな (スコア:1)
ふと思ったのだけど、これって添付されていたファイルまで横流し状態になったりするのでしょうか。Gmail は容量が売りなので、なんかいろいろやりとりしている人が多そうなんですけど。
メール本体に書けるのは基本的にテキストだけなんで、被害があったとしたら個人情報がらみだと思いますが、添付ファイルが読まれちゃったらいろいろ困る事例がありえそうです。
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
招待権 (スコア:0)
うーんお試しとか捨てアカとかできないようにしてるかな?
Re:招待権 (スコア:2, 興味深い)
むしろ、招待制というのは、Gmail に対する話題性や価値を高めるためのスパイスではないかと。簡単には入手できないものなので、Gmail アドレスを持っていることがステータスになるというわけで。
# qmail だったら、拡張アドレスという仕掛けで自分のアドレスをいくらでも追加できるので、
# これを利用して Gmail のアドレスも自由に増殖させることは技術的には可能です。規約違反かどうかは未確認:-)
Re:招待権 (スコア:2, 参考になる)
たしか、Gmail の場合は自分のアカウントの前に "文字列+" をつけて見た目のアカウントを増やせましたね。たとえばこんな感じ:
hoge+someone@gmail.com
捨てアカとか Gmail アカウントそのものの増殖とかとは別の話ですけど。
どっちかというと、mailto:someone@gmail.com?subject=hoge の代わりに使ってちょうだいというニュアンスなのかも。
ただし、+ の文字に対応していない環境があるとかないとかで、Google も「いちおう使えるようにしておいたけど、期待に添えないことがあるかもね」とかいう説明をどこかに書いていた記憶があります。
# Web メールなんてのは定期的にセキュ穴が見つかるもんだと思っておいた方がよさげ
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
Re:招待権 (スコア:1)
# Postfix 使ってるのかな?
------------------------
いつかきちんと仕上げよう
Re:招待権 (スコア:0)
Webのフォームに入れるときに、+を拒絶するRFC読んでないサイトがあまりにも多いので。
Re:招待権 (スコア:0)
someone@gmail.com に対して someone+hoge@gmail.com です。
Re:招待権 (スコア:1)
久々に inbox を覗いてみたら、招待できる人数が 10人になってますね。前は 6人だったような。
私の利用容量は 2MB しかありませんでした。0.2% ですな。ちょっと前まで、プロバイダのメールボックスが 5MB だったような気がするけど。
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
英語は苦手です。 (スコア:0)
かいつまんででもストーリーで紹介してほしかったなぁ…
Re:英語は苦手です。 (スコア:3, 参考になる)
gmail アカウントに送って見てみたら、ちゃんと届いているみたい。
しかし「オプション」リンクをクリックしてみると「Reply To」が
HTML になっていた! よく見てみると他人の HTML メールのようだ。
「原文を見る」リンクでメッセージのソースを見てみると問題ない。
そこでスクリプト出力を見てみると From の最後の ">" が欠けていた。
推測だが、gmail 側で From アドレスの終端を探すルーチンが
">" に依存しているのではないか。
ただ From: <hoge@hoge として送るだけでこんなことになってしまう。
ベータだということを忘れてはならない。
てな感じかなぁ。
Re:英語は苦手です。 (スコア:2, 参考になる)
Re:英語は苦手です。 (スコア:1)
Re:英語は苦手です。 (スコア:0)
Re:英語は苦手です。 (スコア:0)
Re:英語は苦手です。 (スコア:0)
愚痴は自分のアカウントの日記へどうぞ。
悪用 (スコア:0, オフトピック)
悪用できるかどうかって重要ではないのかも知れないけど・・・。
Re:悪用 (スコア:2, 参考になる)
スパム業者が連打してメールアドレス大量ゲットですよ。
Re:悪用 (スコア:1)
もれなく、よそさまのメールがのぞけます。
やり方はタレコミにある通りレポートを参照。
Re:悪用 (スコア:1)
見えちゃうメールって自分で選べないんだから、偶然悪用できるようなメールが悪用する人の目に入らなければ特に困らないんじゃないかな?
と言う意味のつもりだったんですけど。
私が分からないだけで悪用する事ができるのかな?
と言う事で、”どうやったら悪用できるの?”なんですよ。
悪用できるメールに当たるまで繰り返すって方法はあるか。
もちろん、こういうセキュリティー上の穴は無くすべきだけど
これはそんなに大きな問題ではないんじゃないか?
と思ったもので・・・。
Re:悪用 (スコア:2, すばらしい洞察)
たまたま秘密を知ってしまった人が誘惑に勝てず他人の秘密をばらしてしまう危険はあるわけです。
あるいは。
「恥ずかしい」ってのはそれだけでも精神的被害と言えますからね(程度はさておき)。
ごく簡単な例として。
このバグを利用して「今日の100通」とか言って
100回試行してその結果をダラダラ開示するだけのサイト
なんてのを立ち上げられてしまった場合を考えると良いかも。
Re:悪用 (スコア:1)
こんなことやられちゃたまったものではないですね。開示されたメール送信者and受信者は。
ご指摘ありがとうございました。
Re:悪用 (スコア:1)
大きな問題になるかどうかは、実際に問題になってみないとわからない罠。
というか、「悪用した人」が事後に発覚することはあっても、「悪用する人」を事前に特定できないでしょ?
普段から悪事に興味津々な人は論外として、普段は善良な人が「たまたま覗けちゃったので、出来心でつい……」ということもあり得るわけですから。
また、悪用された時の被害の大きさは、読まれたメールに何が書いてあったかに大きく依存しそうです。
というわけで、「悪用する人に利用されなければ大きな問題にならない」というのはちょっとずれているんじゃないかと思います。
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
Re:悪用 (スコア:1)
そのときとは違って今回はメールだから、ランダムでも見られたら困るのもあるのでしょう。
見られたら困るようなものを平文で、β版のフリーメールで送るなって話もありますが。
1を聞いて0を知れ!
Re:悪用 (スコア:0)
メール内容があれば、さらに個人情報が得られます。
あなたの2行の文章からだと「悪用に興味がある」と分かるわけです。
「悪用に興味がある」→「モラルが低い」→
じゃあ違法物販売のメールを送りつけようということになるわけです。
かなり一元的な物の見方ですが。