水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Open PNEかんたんログインの脆弱性

Open PNEかんたんログインの脆弱性

2010年3月5日(金曜日)

Open PNEかんたんログインの脆弱性

公開: 2010年3月13日21時50分頃

Open PNEにかんたんログインの脆弱性があったそうで。

かんたんログイン機能は IP アドレス帯域制限によって、真正な携帯電話からのアクセスに限定しなければ安全に使用することができません。 PC からかんたんログイン機能を使用できる状態にある場合、特定の情報を送信してかんたんログインをおこなうことで、なりすましログインがおこなわれてしまう可能性があります。

かんたんログイン機能の安全性を担保するための OpenPNE の IP アドレス帯域制限には以下の問題があります。そのため、なりすましログインをされる危険性があります。

・OpenPNE 2.14 (OpenPNE 2.13.2 以降) には、特定の操作をおこなうことで、携帯電話の IP アドレス帯域制限を回避されてしまう脆弱性が存在する

・IP アドレス帯域制限機能が OpenPNE 2.10 以降にしか存在しない

・OpenPNE 2.10 以降、 OpenPNE 3.0 以降の IP アドレス帯域制限機能がデフォルトで OFF (使用しない) になっている

携帯電話以外からアクセスされると破綻してしまうという、まさにガラパゴスの話ですね。

「特定の操作を行うことで……回避されてしまう」とありますが、具体的にはどんな操作なのでしょう。Open PNE以外のアプリケーションに影響しない話であれば良いのですが……。

関連する話題: セキュリティ / モバイル

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト