水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2005年のえび日記 > 2005年4月 > 2005年4月28日(木曜日)

2005年4月28日(木曜日)

CSRF の議論

更新: 2005年10月30日

えむけいさん (emk.name)にご指摘いただきましたが (ありがとうございます)、高木さんのところに「クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 (takagi-hiromitsu.jp)」という話が出ています。議論が深まるのは良いことですね。

用語「CSRF」の解説の誤解を招きそうな点を修正しておきました。

※2005-10-30追記: しかし「GET でなくて POST 推奨」という話はホントにどこから出てきたのか謎すぎます。IPA の 2005 年 Q1 の報告に書いてあったのですが、その IPA に届け出られた CSRF は GET ではなく POST で動作するものなので……。

関連する話題: セキュリティ / CSRF

ニフティのパスワードは読み出し可能

更新: 2005年5月6日

ニフティを退会することにして、かわりに無料の @nifty ID というのに登録したのですが、今日になってその登録の通知が来ていました。これを開けてびっくり、なんとパスワードが書いてあります。私が ID を登録した時の初期パスワードはニフティ側で機械的につけられたものだったのですが、もちろんそんなパスワードは覚えられませんから、私はパスワードを変更したのです。実は登録直後は変更の方法も分からなくて、一日経ってから変更できることに気づいたという……。

驚いたことに、今日来た通知には私が変更した後のパスワードが記載されていたのですね。これはつまり、ニフティのサーバにはパスワードが生のままか、少なくとも復号可能な状態で保存されているということです。そしてシステム管理者はそれを印字できると。

これは非常に困ったことになりました。何故かというと、私が入れたパスワードは他のところでも共用していたりするものだからです。これは非常に迂闊でした。まさかパスワードが読み出せるシステムだとは思っていなかったので……。

とりあえず、私に送られてきた郵便物がどうやって作られて誰がそのパスワードを読み得たのかを問い合わせる必要がありますが、他の皆様 (誰?) には、ニフティに登録したパスワードは読み出し可能であり、それは郵便物に印刷され得るという事実をお知らせしておきます。もちろん、他で使っているパスワードをニフティで使うことは決してしてはなりません。

※追記: ひょっとすると読めるのは無料の「@nifty ID 登録ユーザー」のパスワードだけで、通常の有料会員のパスワードはちゃんと保護されているのかもしれません。そのあたりはちょっと分かりかねますが……。

まあ、とりあえず片っ端からパスワード変更ですな。

※2005-05-06 追記: @nifty:@nifty ID登録:パスワードの再発行 (www.nifty.com)を見ると、「弊社窓口にてご依頼を確認次第、 パスワード変更を行ない、ご登録住所宛に郵送にてお知らせいたします」とありますね。ユーザが入力したパスワードを印字して送っても問題ないという立場なら、現在のパスワードをそのまま送ってしまっても良いはずですが……。

関連する話題: セキュリティ / ニフティ

最近の日記

関わった本など