[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[harden-mac:0278] Re: IE5(MacClassic) で Cookie に関す
- To: harden-mac@xxxxxxxxxx
- Subject: [harden-mac:0278] Re: IE5(MacClassic) で Cookie に関す
- From: Junnama Noda <junnama.noda@xxxxxxxxxxx>
- Date: Sat, 21 Dec 2002 15:43:25 +0900
Junnama @広告屋に勤めるプログラマ(^^;)です。
At 11:12 AM +0900 02.12.21, SHIROYAMA Takayuki wrote:
>広告屋は文句だけ言ってりゃオシアワセなののかも知れません
>が、(ヤクザな)プログラマとしては、「しないで欲しいと言われ
>ても、じゃあ何か確実に安全な策はあるのかね?」と聞きたくな
>ります。また URLに戻って Referer におびえろと? (^^;
う〜ん。確かにURLの引き数に(GET)セッション情報を含めるのは駄目です。
おっしゃるとおりサイトをリダイレクトするだけでRefererからセッション情報がばれ
てしまいます。ただ、Refererにおびえるのと同時にXSSにもおびえてね、ってことで。
文句(^^;)といいますか、構築しようとするサイトにもよりますが、これで問題無いで
すよって言いきらないでよ、一緒に考えようよ、ってのに中々乗ってくれないんです
よ。私の周りの皆さんは特に(お〜い誰か見てるか〜)。
# 結局、ブラウザのバグなんて確かにプログラム組む側はしったこっちゃ無いんでし
ょう
# が、リスクを少なくするためには必要に応じて複数の対策を考える必要もあるでし
ょう?
1.そもそもBasic認証で駄目なのか?
Digest認証というのも確かにありますが、そもそもBasic認証で駄目なのかどうか。
これで事足りるケースも多いかと。Base64Encode(でしたっけ)されてるだけで平文だ
から駄目って話もあるわけですが、そもそもHTMLのフォームのデータだって平文です
し。Basic認証のIDとかPasswordはJavaScriptからアクセスできません(よね?)から。
ただ、Basic認証は毎回ID&Passwordがやりとりされるという問題はありますけど。
ちなみにSSLを導入したサイトのBasic認証の情報って、やっぱり暗号化される...という
認識なんですけど、どうだったでしたかね。
2.ログイン時にUser情報を取得する方法
At 11:12 AM +0900 02.12.21, SHIROYAMA Takayuki wrote:
>URLに関しては、過去に Referer からセッションIDがばれる事が
>あり得るというのが問題になったことがあります。当時は「だから
>Cookie に入れるべきだ」なる議論がされたり、(確か倉橋さんだ
>ったと思いますが) SessionIDと送信元IPアドレスの対応表を用意
>して、違うIPからきた場合ははねるという処理が披露されたことも
>あります。もちろん、hidden field はPOSTじゃないと送ってこない
>という弱点があります。
おっしゃる通り、IPアドレスとかUserAgentを覚えておいて、セッションの間は照合
する、というのが私は良いと思います。
(攻撃された時点でIPアドレスもUserAgent情報も攻撃者に渡りますが)
IPとの照合が今のところ私が考える一番の方法です。
Hiddenフィールドの場合は(まだ検証はしてませんが)同じ理屈でJavaScriptから盗める
かもしれません。今回の私の直感では、IE(Mac)の場合ローカルのJavaScriptでは各種
情報にアクセスし放題って感じですし。
# Window(参照).document.form〜なんちゃらとかで盗めないですかね。
# 余談ですが、Netscapeだと思うのですが、メールの中のURLを叩いてアクセスして
# きたときに、Refererがローカルファイルの名前になってるのがありますね。それか
# ら、もちろんローカルファイルからURLを叩いた時も。
# 私のサイトのログを見る限り、まだまだ「Macintosh HD」ユーザーが多いことがわか
# ります。
↑
自分のコメントにレス
と、書いてふと思ったのですが、害のない添付ファイルだと思ってそいつをクリックし
てアクセスすれば、ローカルディスク名ってばればれですね。
# こんなことやってると本当に正確荒んできますね。
(signature)__________________________________
野田純生(のだすみお)
Web : http://member.nifty.ne.jp/junnama/
e-mail: mailto:junnama.noda@xxxxxxxxxxx
_____________________________________________
--[PR]------------------------------------------------------------------
‥…━━今年最後の大チャンス!豪華商品があなたに当たるかも!?━━…‥
┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓
┃V┃┃A┃┃I┃┃O┃┃&┃┃ホ┃┃テ┃┃ル┃┃宿┃┃泊┃┃券┃
┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛
締切り間近!⇒ http://ad.freeml.com/cgi-bin/ad.cgi?id=b4Enx
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp