JUGEM管理画面、セッションID漏洩の問題を修正
2011年5月22日(日曜日)
JUGEM管理画面、セッションID漏洩の問題を修正
公開: 2011年5月22日22時15分頃
こんなリリースが出ていますね……「【重要】管理者ページセキュリティの修正と強化に関しまして (info.jugem.jp)」。
この度、PHPSESSIDが付与された管理者ページURLから外部サイトにアクセスした場合、外部サイトのアクセス解析に残ったログから、お客様のブログ管理者ページに他の方がログイン出来た可能性が判明いたしました。
(~中略~)
【弊社で確認した発生する条件】
(1)ご利用のブラウザのプライバシー設定が規定値より高く設定されていた場合
(2)セキュリティソフト等でCookieがブロックされてしまった場合【第三者がログイン出来た条件】
上記(1)(2)のいずれかの条件を満たしたお客様が、JUGEM管理者ページ内から外部サイトへ遷移した場合に、その外部サイトのアクセス解析等にお客様の管理者ページにログイン出来るURLが表示されてしまう
Cookie無効環境でURLにセッションIDがついて、Refererから漏れるというシンプルなお話ですね。
PHPにはsession.use_trans_sid (www.php.net)とかsession.use_only_cookies (www.php.net)といった設定項目があって、これらの設定によっては、Cookie無効時にセッションIDをURLに埋め込むという「親切な」動作になります。
PCサイトの場合、Cookie有効を前提にしてしまってもほとんど問題ありませんので、単に設定を変えて、URLにセッションIDがつかないようにすれば良い話です。JUGEMではそのような対応をしたようですね。
※ただ、ドコモのフィーチャーフォン (いわゆるガラケー) でもアクセスしてほしいような場合、Cookie有効を前提にすることはできませんから、セッションIDつきのRefererが外に出ないような (やや面倒な) 対処が必要になってきます。
- 「JUGEM管理画面、セッションID漏洩の問題を修正」にコメントを書く
関連する話題: セキュリティ
- 前(古い): So-netで不正アクセス
- 次(新しい): ストレッチング採用の理由
