2005年11月18日(金曜日)
MD5 の現況
「MD4/MD5 コリジョンの実証コードが公開 (slashdot.jp)」。
まさに今日「パスワードは MD5 でハッシュして格納いるので問題ない」なーんて発言を見てしまったのでメモ。とある大手企業からは、去年あたりから「社のポリシーとして MD5 は駄目ってことになったんで、既存アプリで MD5 が使われていないかどうか確認させてください」なんて話が聞こえてきていましたが……。ところ変われば人変わる、ということですかね。
- 「MD5 の現況」にコメントを書く
関連する話題: セキュリティ
セキュリティのため上記アドレス(URL)は、他の人から類推できないように暗号化されています。
「インターネットディスクのセキュリティ (www.internetdisk.jp)」というページに、こんなことが書いてあります。
公開URLの類推
スムーズな利用を実現する公開URLは、類推対策として暗号化して発行。
インターネットディスクでファイルを公開するときの URL は、たとえば http://pub.idisk-just.com/fview/fGO_vizACeROCbrL02QAPieQafMk7dbiDYRTikZ7aoQTDUu-rG7njAUEXRhmTdQe6qJHPNhHr9U.html のようなものになります。この URL にアクセスすると、ノーパスワードで目的のファイルを取得することができます。URL は見ての通りのような感じで、確かに類推は難しいと思われます。
インターネットディスクではダウンロード時のパスワードという概念がありません。そのかわりに URL 自体が「類推されにくい」ものになっています。これによって、「URL を通知した相手にしかアクセスされない」ことを保証しようとしているのだと言えるでしょう。これはつまり、URL そのものがパスワードとしての機能も果たしている、ということです。上記 URL の fGO_viz……の部分というのはファイルの ID であるとともに、パスワードに相当する機能も持つと言えると思います。
さて、ここで改めて上記引用部分を見てみると、「暗号化して発行」と称していますが……。これが類推されにくいのは良いとしても、「暗号化」と呼んでしまうのは問題ないのでしょうか。
以下の二者は似ているようでいて、全く異なります。
- パスワードは暗号化されていて、暗号化された文字列が漏洩しても大丈夫
- パスワードとして複雑な文字列が設定されているため、類推されにくい
前者は漏れてもいちおう (解読や解析がされなければ) 大丈夫ですが、後者は漏れたら即アウトです。インターネットディスクの公開 URL の文字列は明らかに後者の例で、漏れればただちにファイルにアクセスできてしまいます。
そして URL というものは、Referer などから簡単に漏れることがあります。URL が漏れたらアウトな場合には、ちゃんとそのことを意識しないと危ないはずです。ノーパスワードでアクセスできることは、便利でもあるのでしょうし、それ自体は特に問題ないと思います。しかし、それを下手に「暗号化」などと言ってしまうと、「暗号化されているので漏れても大丈夫」という無用な誤解を招いてしまうのではないでしょうか。
※ちなみに本当に URL が漏れてしまった場合は、一度非公開にして再公開することで URL が変わり、以前の URL が無効になります。もちろん、URL を変える前に見られてしまったらどうにもなりませんが。
というわけで、公開 URL 通知メールの「セキュリティのため上記アドレス(URL)は、他の人から類推できないように暗号化されています。 (www.google.com)」という文言もちょっとやめて欲しいですし、むしろ「URL が他人に漏れたらそのままアクセスできちゃうので気をつけましょう」みたいな注意が欲しいなあ、と思ったりする今日この頃でありました。
ステータスバー偽装系 (既出)
「IEやOperaにステータス・バーを偽装できる問題 (itpro.nikkeibp.co.jp)」。
アンカーの中にイメージボタンを置くという話。要するに、「リンクとして機能する何か」を a要素の中に入れると、ステータスバーには外側の a要素のリンク先 URL が表示されるが、実際にクリックすると中の「リンクとして機能する何か」が機能してしまうため、ステータスバーの表示と遷移先が食い違うというお話ですね。
って、1年半前にも同じ事を書いたわけですが(「URL偽装問題再び?」参照)。フォームの submit ボタンを使ってこの偽装ができることは、少なくとも私の中ではずいぶん前から既知の問題でした。
関連する話題: セキュリティ / Internet Explorer
- 前(古い): 2005年11月16日(Wednesday)のえび日記
- 次(新しい): 2005年11月21日(Monday)のえび日記
