2004年12月27日(月曜日)
フレームでは通用しない SSL 確認方法
セキュリティホールmemo (www.st.ryukoku.ac.jp)で「ウィニーでソフト違法入手、巡査立件せず…京都府警 (osaka.yomiuri.co.jp)」というニュースが紹介されていたので、ACCS が何か声明を出していないかと思い、ACCS のサイトを見てみました。
URL を入力するのも面倒なので、Google で "ACCS" と検索すると、検索結果はこんな感じ。
ACCS ...
※このページはフレームをご覧になれないブラウザには対応しておりません※.
アクセスしてみると大幅にリニューアルされていて、しっかりフレーム化されていました。noframes はありますが、Google さんが見たとおり「フレームに対応していない奴は帰れ」という状態。
いろいろ見ていたら、「ACCS/著作権・個人情報について」というページで凄いものを発見してしまいました。
ACCSホームページに設置している各種の投稿フォームでは、SSL(セキュア・ソケット・レイヤー)という、データを暗号化して送信する技術を利用しています。
(~中略~)
1)ブラウザのURL表示が「https://・・・」という表記で始まっているか(「http」に続けて「s」が表示されていれば、SSLは有効です。)
以上、ACCS/著作権・個人情報について より
残念ですが、ACCS のサイトではこの方法で SSL かどうかを確認することはできません。フレームを使用している場合、アドレスバーに表示されるのは外側のフレームの URL であって、フォーム本体の URL ではないからです。外側のフレームが SSL であっても、中のフォームが SSL でなければ意味がありません。さらに言えば、フレームの一部だけを書き換える技術も存在しますので、外のフレームが ACCS のものだからと言って信頼することもできないわけです。
そのようなわけで、フォームの URL を確認するためには、フレームを解除してフォームだけを表示するか、あるいはフォーム部分を右クリックして「プロパティ」を確認する必要があります。
おそらく ACCS は、どこかの (フレームを使っていない) サイトに掲げられていた説明をそのまま拝借したのだろうと思いますが、フレームが使われているというだけで通用しなくなってしまいますので注意が必要です。
※というか、そもそもどうしてフレーム化したのかが謎です。セキュリティ的に問題があることはよく知られていると思うのですけれど……。ACCS はセキュリティに慎重であることが強く求められていると思うのですが、どうして安易にフレームなどを選択したのか聞いてみたいです。
- 「フレームでは通用しない SSL 確認方法」へのコメント (4件)
ヨン様公式サイトがやられた
更新: 2004年12月27日
「ヨン様」国内公式サイトに攻撃、個人情報流出か (www.asahi.com.)……というニュースですが、本家には「サイト一時閉鎖のお知らせ (www.yongjoon.jp)」が出ていますね。
その過程で、セキュリティホールを悪用した個人情報の取得、取得した個人情報の公開、個人情報の改ざんという犯罪行為に至りましたため、ペ・ヨンジュン日本公式サイトおよびデータベースの一部を共有していたブロコリサイトの公開は、12月24日の深夜2時の時点で管理者の判断で中止させていただきました。
ということで、この発表を信じるなら
- セキュリティホールを悪用された
- ID、パスワードが漏洩しただけではなく改竄された
という話になり、単なる丸見えではないようですね。Web サーバ (Microsoft-IIS/5.0 らしい) がやられたか、あるいは SQL 系なのかしら。
※追記: 「ペ/ゆうこりん祭りまとめ (www.geocities.jp)」に詳しい経緯が紹介されているようです (匿名さんありがとうございます)。さらに2ch に具体的な情報が出ている (news16.2ch.net)ようですが、これによると、単に Cookie にユーザ ID をセットするだけでアクセスできたようですね。セキュリティホールというか、アクセス制御できてないというレベルなのでは……?
- 前(古い): 2004年12月26日(Sunday)のえび日記
- 次(新しい): 2004年12月29日(Wednesday)のえび日記