パスワードを忘れた? アカウント作成
3955 story

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済) 228

ストーリー by Oliver
注意はよく読みましょう 部門より

jbeef曰く、"スラッシュドットのユーザページにある「パスワード」というリンクの先には、

このリンクをクリックすると,自動的にログインすることができます.クリックした先のページをブックマークしてください.全く安全ではないですが,とても便利です.
というリンクがある。そのURLにはユーザ名とパスワード(のMD5値)が含まれているので、アクセスするだけでログインできるわけだが、このURLがRefererによって漏れているという指摘が11日にBUGTRAQに投稿された。これに対して、slashcodeのメンテナの一人であるJamie McCarthy氏は、「『This is totally insecure, but very convenient(全く安全ではないですが,とても便利です)』ときちんと警告している」と弁明した。 すると報告者は、「なぜ安全でないのかが説明されていない。多くの人達が、ブックマークにパスワードを持つことが問題とされているのだと思い込んでいるかもしれず、これを外部に送出していることに気付いていない」 と指摘した
私のサーバのアクセスログを「grep slashdot | grep passwd」してみたところ、ユーザ名とパスワードを含むRefererが1件見つかった。私のサーバへのリンクのあるタレコミが掲載されたトップページで、その人物がそのリンクを辿ったときに記録されたものだと思われる。現在では、ブックマークのURLにアクセスすると自動的に問題のないURLにリダイレクトされるようになっており、もう秘密のURLが漏れることはないようだ。これは対策されたということなのだろうか。しかし、既に漏れてしまったパスワードは取り返しがつかない。過去にこのブックマーク機能を使用していた方はパスワードを変更した方がよいだろう。"

Slashcodeにはかなり前からログインが成功したら一度、同じSlashcodeサイト内でリダイレクとしてRefererを消すコードが入っているが、一部の引数が省略された場合など、有効になっていなかったケースがあった模様。うちでも問答無用でリダイレクトする様に改善したが、このブックマーク機能を利用していた人は念の為にパスワードを替ることを勧める。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jbeef (1278) on 2002年09月24日 8時58分 (#170970) 日記
    タレコミ人です。この件は、タレ込んだ後にBUGTRAQの方で進展がありました。その進展を踏まえた補足を日記に書いておきました [srad.jp]。

    ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?

    タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、

    ...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略)
    which inform him or her:
    You can automatically log in by clicking _This Link_ and Bookmarking the resulting page. This is totally insecure, but very convenient.
    Anyone whose password shows up in your referrer logs has been duly warned.
    とおっしゃっています。これに対して報告者も指摘しているのですが、私も思うに、「totally insecure」というのは、「他人が端末の前に立つと、ブックマークでログインできてしまう」危険性を想定して述べられていたのだと予想します。このことならば、「それでもその機能を利用するのはユーザの判断」というのは妥当ですから。

    それに対して、Refererによる外部流出の指摘があったときに、「has been duly warned」とか、「注意はよく読みましょう」とする発言は、要するに、

    だから危険だって注意してたじゃん。それを承知で使っている人はそりゃ自業自得でしょ。
    ということを言われているように聞こえますが、それは、本当に「リンク先サーバの管理者(ログを閲覧できる者)にアカウントを乗っ取られる」ことを想定しての発言でしょうか? 最初に「totally insecure, but very convenient」と書いた人は、まさか、いくらなんでも、そんなに危険度の高いことを指してそう書いたはずはないと思います。
    • by jbeef (1278) on 2002年09月24日 9時41分 (#170987) 日記
      ちなみに同メンテナは、以前書いたように [srad.jp]、XSS脆弱性を指摘されたときにも、 「これはバグではあるが、exploitが無いので、脆弱性ではない。」と誤った反論をしていたことがあります。

      一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかるが)、問題がないように思えるなら、指摘者が何を問題視しているのかを、尋ねるなりして確認するよう努める姿勢を心がけたいものです。指摘をした側も、「問題ない」と否定されると(そしてそれが間違っていると)それに再反論するのに余計なエネルギーを必要としてしまうのが人情だと思います。

      親コメント
  • 以下のこの件に関する一連の意見に対して、編集者の釈明が是非聞きたいものですね。
    特に172。

    ━━━━━━━━━━━━━━━━━━━━━━━━━
    166 :login:Penguin :02/09/23 16:06 ID:NEjOj+0p
            slashcodeが一部ユーザのパスワードを漏らす
            http://srad.jp/journal.pl?op=display&uid=1278&id=75764
            http://srad.jp/journal.pl?op=display&uid=1278&id=75874
            http://srad.jp/journal.pl?op=display&uid=1278&id=75881

            jbeefタンの日記より(w
            http://srad.jp/journal.pl?op=display&uid=1278

    169 :login:Penguin :02/09/23 21:07 ID:7ldX0W3W
            2002-09-15 09:12:50 Slashcodeが一部ユーザのパスワードを漏らす (security,slashdot) (審査待ち)

            投稿者は1週間もほっといていいんかよ? こんな大事なこと。

    170 :login:Penguin :02/09/23 21:30 ID:Uhxj40uo
            >>169
            禿同。

            却下するなら却下するで、既に対応済みなり、何らかの返答してやれよ。
            1週間もたってるんだぜ。

            今まで日記を書いてこなかったjbeefタンが、日記を書いてるってのは、
            その危険性を指摘したにもかかわらず、1週間も放置されてるってのに
            抗議してるからだろ。

            こうなったら jbeefタンを友達に追加して、
            ttp://srad.jp/journal.pl?op=top 日記ページを開いたら
            「友達リストに多く加えられているユーザ」に表示させて抗議するぜ。

            祭りだ、祭りだ。

    171 :login:Penguin :02/09/23 21:35 ID:x8EH4P0Z
            >>170
            > 却下するなら却下するで、既に対応済みなり、何らかの返答してやれよ。
            > 1週間もたってるんだぜ。
            あそこはそういうの多いね。

    172 :login:Penguin :02/09/23 23:16 ID:EDJx05bI
            自分たちに都合の悪い情報はなんだかんだと理由を付けて載せない。
            それが /.J の /.J たる所以です。特に○りばとか。

            full disclosure がどうこうと騒いでいても、所詮はその程度。
            他人には full disclosure を要求するくせに。

    175 :login:Penguin :02/09/23 23:29 ID:m8/2E76m
            まるで民青みたいな奴らだな > /.J

    181 :login:Penguin :02/09/24 10:59 ID:t0OrO6hD
            今回の件でますます/.の評判がさがりました。
            ま、2ちゃんねるも同じようなもんだが。彼らにあこれれいう資格はないことがわかった。
    --
    \_ ____________
       V
     ∧,,,,∧
    彡,・ー・,ミ
     (っ@c) ∫
    乙__)__) 旦
  • by ntakahas (6453) on 2002年09月24日 19時21分 (#171283)
    原文を読んで初めて知ったのですが、 「まったく安全ではない」という部分は、 totally insecure つまり「全然安全ではない」だったんですね。 今までずっと not completely secure 「まったく安全、というわけではない」 という意味だと思ってましたよ。 おお怖。
    • by G7 (3009) on 2002年09月25日 3時43分 (#171584)
      すると、訳としては、「まるで安全ではない」くらいが良いでしょうか?
      親コメント
      • 『「すんごく危険」とかはいかが?』

        …と投稿しようとしたら、すでに「危険ですが,とても便利です.」
        に文面が変わってますね。すばやい対応に拍手。

        #「危険」とか書いてたら、誰も使わんわな。というのをオチに
        #しようと思ったのに、オチにならなくなったよ。ちぇっ
        親コメント
    • 「まったく安全ではない」と「全然安全ではない」は同じ意味では?
      親コメント
      • >>まったく【全く】 (副)
        >>(1)否定表現と呼応して,それを強調する。全然。「酒を―飲まない」

        |ぜんぜん【全然】 (副)
        |(1)(否定表現を伴って)まるきり。全く。「金は―ない」

        >「まったく安全ではない」と「全然安全ではない」は同じ意味では?

        この 2つの意味は同じ。
        「安全である」を否定強調してる意味です。
        いわゆる全部否定。

        ところで「まったく」にはもうひとつありまして。
        | (2)完全に。本当に。「―健康になった」

        「「まったく安全」ではない」
        とも解釈できます。これだと部分否定ですね。

        ちなみに全然にも別の意味ありますが
        | (2)〔俗な言い方〕非常に。とても。「―いい」

        これは肯定文の強調に使う最近の俗語なので、今回当てはまらず。
        --
        -- wanna be the biggest dreamer
        親コメント
        • ところで「まったく」にはもうひとつありまして。
          | (2)完全に。本当に。「―健康になった」

          「「まったく安全」ではない」
          とも解釈できます。これだと部分否定ですね。

          あー、なるほど。つまりそういう解釈も可能だから紛らわしいということでしたか。

          しかし昨今は「全然大丈夫だよ」みたいなワケのわからん言い回しも世の中には流通しているようなので、「全然安全ではない」であっても油断できない可能性があるのかもしれません。

          親コメント
  • と考えてますけどなにか。
    所詮/.程度のサークル内で使うパスワードに対したものは使ってませんので、ココまでエキサイトしなきゃならない理由がピンと来ないでおります。
    自分としては基礎→プライバシー絡み→金絡みの順序で生成規則を変えてます。2段目、3段目のパスワードがクラックされるようなら文句も言いますがクッキーで自動ログオンできるようなスラッシュコードに高レベルのセキュリティ対策求めてもしゃあないと考える私は鈍い?
     
    --
    〜後悔先に立たず・後悔役に立たず・後悔後を絶たず〜
    • by Anonymous Coward on 2002年09月25日 1時45分 (#171530)
      • パスワードを変更して
      • 変更前のブックマークからアクセスして
      • ログインできなかったにも関わらず、そのまま直しもせず
      • ほんの一日か二日で流れてしまうトップページにリンクがあり
      • そのリンクをクリックしてWebへアクセスし
      • そのサイトの管理者等リファラのログへアクセス可能な人が悪意を持っており
      • その悪意を実行するまでの間に旧パスワードへ戻す
      という多くの「仮定」をクリアしなきゃ実現しないような脆弱性を政府機関の人間がタレ込んでるからエキサイトしてるのでは?

      その上、

      • 辞書攻撃で破られる程度の脆弱なパスワードを付けており
      • リファラの付いたアクセスがどこの誰から行われたかを知り
      • どういった別のパスワードが必要なサービスを受けているかを知り
      • そのサービスで同じパスワードを使っている必要があり
      • その悪意の管理者がそのアカウントに侵入しようとする
      という、流れ星に当たるぐらい多くの悪条件が重なった場合にだけ起こる「パスワード漏洩のリスク」というのをタイトルに付けてるというのもあるかも。
      親コメント
      • > 政府機関の人間がタレ込んでるからエキサイトしてるのでは?

        > それとも仮名で叩くのがAISTの仕事か?

        から始まって

        > 匿名だろうが匿名じゃなかろうが、問題を問題と指摘して何が悪い?
        > ハンドルを名乗れば、自分をさらけ出すことになるのか?
        > そもそもハンドルっつーもの自体、自分自身の正体を明かしている
        > ことにはならんだろうに。
        > 昔の草の根BBSと違って、自分自身の住所や電話番号を登録しなきゃ
        > いかんシステムと違うんだろう? /.は。
        > 匿名とハンドルの違いがどこにある?

        こうくる、と。おもしろいなー。
        親コメント
      • という、流れ星に当たるぐらい多くの悪条件が重なった場合にだけ起こる「パスワード漏洩のリスク」
        タレコミ文を読まずに書いてませんか? 私のサーバで実際にそうしたRefererが見つかったと書いてあります。BUGTRAQへの報告者も複数の事例が見つかったと述べています。 つまり、
        • パスワードを変更して
        • 変更前のブックマークからアクセスして
        • ログインできなかったにも関わらず、そのまま直しもせず
        • ほんの一日か二日で流れてしまうトップページにリンクがあり
        • そのリンクをクリックしてWebへアクセスし
        ここまでが現実に起きたというタレコミですよ?

        私のサイトなど話題にされることは滅多にないのでアクセスも少なめですが、もっと頻繁にリンクされるサイトにはより高い確率でログに記録されていることでしょう。

        ちなみに、Googleで「"userlogin&upasswd="」を検索 [google.com] すると、こんなページ [geocrawler.com] などが見つかります。

        という、流れ星に当たるぐらい多くの悪条件が重なった場合にだけ起こる「パスワード漏洩のリスク」というのをタイトルに付けてるというのもあるかも。
        私の付けたタイトルには「のリスク」という言葉は入れていません。ずばり、「Slashcodeが一部ユーザのパスワードを漏らす」という、漏らした事実をタイトルとしました。
        親コメント
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...