Hatena::ブログ(Diary)

C/pHeR Memo - Java とか。Eclipse とか。 このページをアンテナに追加 RSSフィード Twitter

2010-10-26 Yahoo、mixi、google、facebook、Twitter にセキュリティホール

cypher2562010-10-26

[] Yahoo、mixi、google、facebook、Twitter にセキュリティホール  Yahoo、mixi、google、facebook、Twitter にセキュリティホールを含むブックマーク  Yahoo、mixi、google、facebook、Twitter にセキュリティホールのブックマークコメント

アカウントを乗っ取る Firefox アドオン

 セッションハイジャックできるツールです。セキュリティ専門家からは数年前から、危険性が指摘されており、今まで多くの IT 技術者は、危ないと認識していながらも、放置してきた問題ですが、とうとう簡単ツールが公開されてしまいました。

 脆弱性を暴くべくFiresheepと名付けたFirefoxアドオン(エクステンション)を開発 〜 仕組みはこうだ。安全性の低いサイトは、ユーザーをクッキー(正式にはセッションと呼ばれる)で識別している。クッキーにはそのウェブサイトがユーザーを識別する情報が含まれている。Firesheepはクッキーを抽出し、これを使って本来のユーザーになりすます。

Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep | TechCrunch Japan

 「安全性の低いサイトはユーザーをクッキーで識別」

 いや、なんだこれ全然ちがw 問題は、非 SSL と暗号化されていないオープン WiFi にあります。


Google も傍受していた...

 Street View撮影車両がWi-Fi通信データを収集していたことが、各国政府の調査や訴訟問題に発展 〜 Google社は「オープンアクセスが可能な状態(すなわち、暗号化によって保護されておらず、誰もが自分のデバイスを介してアクセスできる状態)に設定されているネットワークからペイロードデータを収集することは、米国の法律抵触するものではないと当社は判断している 〜

WiFiスポットでの「傍受」:Googleと児童ポルノ問題 « WIRED.jp

 悪意うんぬんではなく、情報収集のため、普通に傍受している企業なども結構いると考えるのが妥当です。


どうすれば

 ユーザーはせめてオープン Wifi ではアクセスしない。サイトが SSL を提供していれば、意識して https アクセスしたり、Force-TSL という Firefox アドオンがありますが、不確実です。

 ログイン可能な Web サイトを提供している企業は、SSL のみにする。mixi のようにログイン時だけ SSL というようなシステムも多いですが、それではこの問題は解消できません。

 企業がセキュリティホールになると分かっていても、非 SSL を使ってしまっているのは https は http と比較して、速度が遅い -> サーバーに負荷がかかる -> ユーザーが逃げる & 利益が減る などがあります。