水無月ばけらのえび日記

フレームでは通用しない SSL 確認方法

セキュリティホールmemo (www.st.ryukoku.ac.jp)で「ウィニーでソフト違法入手、巡査立件せず…京都府警 (osaka.yomiuri.co.jp)」というニュースが紹介されていたので、ACCS が何か声明を出していないかと思い、ACCS のサイトを見てみました。

URL を入力するのも面倒なので、Google で "ACCS" と検索すると、検索結果はこんな感じ。

アクセスしてみると大幅にリニューアルされていて、しっかりフレーム化されていました。noframes はありますが、Google さんが見たとおり「フレームに対応していない奴は帰れ」という状態。

いろいろ見ていたら、「ACCS/著作権・個人情報について」というページで凄いものを発見してしまいました。

残念ですが、ACCS のサイトではこの方法で SSL かどうかを確認することはできません。フレームを使用している場合、アドレスバーに表示されるのは外側のフレームの URL であって、フォーム本体の URL ではないからです。外側のフレームが SSL であっても、中のフォームが SSL でなければ意味がありません。さらに言えば、フレームの一部だけを書き換える技術も存在しますので、外のフレームが ACCS のものだからと言って信頼することもできないわけです。

そのようなわけで、フォームの URL を確認するためには、フレームを解除してフォームだけを表示するか、あるいはフォーム部分を右クリックして「プロパティ」を確認する必要があります。

おそらく ACCS は、どこかの (フレームを使っていない) サイトに掲げられていた説明をそのまま拝借したのだろうと思いますが、フレームが使われているというだけで通用しなくなってしまいますので注意が必要です。

※というか、そもそもどうしてフレーム化したのかが謎です。セキュリティ的に問題があることはよく知られていると思うのですけれど……。ACCS はセキュリティに慎重であることが強く求められていると思うのですが、どうして安易にフレームなどを選択したのか聞いてみたいです。

• 「フレームでは通用しない SSL 確認方法」へのコメント (4件)

関連する話題: ACCS / セキュリティ / アクセシビリティ / SSL/TLS / フレーム

ヨン様公式サイトがやられた

更新: 2004年12月27日

「ヨン様」国内公式サイトに攻撃、個人情報流出か (www.asahi.com.)……というニュースですが、本家には「サイト一時閉鎖のお知らせ (www.yongjoon.jp)」が出ていますね。

ということで、この発表を信じるなら

• セキュリティホールを悪用された
• ID、パスワードが漏洩しただけではなく改竄された

という話になり、単なる丸見えではないようですね。Web サーバ (Microsoft-IIS/5.0 らしい) がやられたか、あるいは SQL 系なのかしら。

※追記: 「ペ/ゆうこりん祭りまとめ (www.geocities.jp)」に詳しい経緯が紹介されているようです (匿名さんありがとうございます)。さらに2ch に具体的な情報が出ている (news16.2ch.net)ようですが、これによると、単に Cookie にユーザ ID をセットするだけでアクセスできたようですね。セキュリティホールというか、アクセス制御できてないというレベルなのでは……?

• 「ヨン様公式サイトがやられた」へのコメント (2件)

関連する話題: セキュリティ / Web