水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 楽天メールマガジン情報漏洩の話・さらに続き

楽天メールマガジン情報漏洩の話・さらに続き

2008年10月1日(水曜日)

楽天メールマガジン情報漏洩の話・さらに続き

楽天メールマガジンの件ですが、スラッシュドットにタレこまれたそうで……「個人情報を含む楽天メルマガの設定変更画面、Google経由で第三者にさらされる (slashdot.jp)」(優さん情報ありがとうございます)。

なかなか興味深いお話が出ています。

3年前に取得したメルマガ設定のリンクが今でも使えます。

以上、http://slashdot.jp/security/comments.pl?sid=420884&cid=1429623 より

多くの場合、セッション情報や認証情報を含むようなURLは一時的なものになっていて、一定時間経つとで使えなくなったりします。が、楽天のこれはそういう感じではなくて、無期限に使えるものだったようです。

この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。

Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。

以上、http://slashdot.jp/security/comments.pl?sid=420884&cid=1429556 より

URLの生成自体がランダムではない可能性があると。これはまた微妙な話ですね……。

※それから、前回のタイトルについて「そんなにしょっちゅうやらかしてたのかと思ってしまった (slashdot.jp)」というご意見をいただきましたので、タイトルを変更しました。

関連する話題: セキュリティ / Web / 楽天

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト