FC2ブログ

[Security][Vulns] OpenIDについて調べてみると。。。

 過去記事ageです。more...の部分に記述を追加しています。(2008/09/12)



(2008/095/22,22:00,start)

 ブログパーツに、okyuu.comを追加した。
 たまたまニュースで見かけたので見に行ったら、OpenIDに対応しているという。

 というわけで、Yahoo!JapanのOpenIDを試しに取得してみるか、と考えてみたところ、

http://openid.yahoo.co.jp/

既存のYahoo!Japan IDにOpenIDの設定を追加できると言う。


 さて、ここで気づいたのは、OpenIDでログインするということは、同時に二つのドメインにログオンしているということである。
 私の例で言えば、Yahoo!Japanとokyuu.comの両方にログインしていることになる。


 こういう状態で想定される代表的なセキュリティインシデントといえば、CSRF(クロスサイトリクエストフォージェリ)ではないだろうか。
 つまり、okyuu.comにアクセスしている間、yahoo!Japanにも知らず知らずの間にログインしているわけであるから、たとえばokyuu.comに脆弱性があった場合、

(1)okyuu.comのドメインからクライアントPCに対して不正なスクリプトが送信される
(2)クライアントにダウンロードされた不正なスクリプトがYahoo!Japanのサーバに攻撃を仕掛ける
(3)このとき、攻撃リクエストは、ログインしたユーザーの権限で実行される

 すると、スパムメールの送信、スパムコメントの投稿、改ざんといった被害が発生する、というのが、基本的な流れ。


 ところで、国内の大手独立系ポータルがOpenIDベンダー(Yahoo!JapannとかLivedoor、将来的にはmixiも)へと進化するとはいえ、完全にOpenIDの恩恵を受けられるわけではない。
 これら国内大手独立系ポータルは、それぞれ、OpenIDの発行は行うが、外部OpenIDでのログインは認めない方針らしい。
 mixiについては、SNSというサービスの性質上、「複数アカウントの取得」という、規約に明記された不正を防止することが困難であることが想像に容易い。

 しかし、Yahoo!JapanやLivedoorについては、個人で複数のアカウントを取得することを認めているため、そうしたmixi特有の事情は当たらないはずだ。
 まあ、Yahoo!JapanとLivedoorでは、サービス内容がかなり重複しているので、顧客の取り合いという問題があるからかもしれない。
 国内では、サービス内容をとくにシェーピングしていないgooなども、今後OpenIDについては同じような方針をとることも想像される。


 一方、Niftyなどの通信系ポータルはOpenIDについてはどう考えているのか?
 対応するとしても、回線契約とは別のコンテンツ契約(有料情報サイトの提供、通販など)の部分に限定せざるを得ないのではないか。回線契約はコンテンツ以上にセンシティブな内容であるからだ。

 しかし、もし回線契約とコンテンツ契約を分離するとしたら、有料コンテンツ販売のメリットが消えてしまう。一括請求ができなくなってしまうからである。
 そうすると、回線契約をせず、コンテンツ契約のみのユーザーだけがOpenIDに対応するのか。それはそれで、ユーザーの利便性に格差が生じて問題となるだろう。


 そういうわけで、日本国内ではOpenIDの普及は、ニッチなポータル(上のokyuu.com)の経営努力次第となるだろう。
 大手独立系ポータルはOpenIDの発行はするが、自社IDと外部OpenIDの紐付けに慎重な姿勢を崩すことは当面考えにくい。とすると、黙っていてもOpenIDのユーザーが大きく伸びるということは考えられないということになるだろう。

(2008/05/22,22:00,end)


スポンサーサイト



more...

theme : セキュリティ
genre : コンピュータ

FC2ブックマーク | この記事をokyuuへインポート | このエントリーを含むはてなブックマーク | ニフティクリップへ追加 | この記事をクリップ! | イザ!ブックマーク | POOKMARK Airlinesに登録する | del.icio.us |
動作未検証 | | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証

[Security][Phishing] フィッシング対策ガイドライン

フィッシング対策協議会、国内初の「対策ガイドライン」を公開:ITpro ニュース [okyuu.com]

はてなブックマーク - フィッシング対策協議会、国内初の「対策ガイドライン」を公開:ITpro

 対策ガイドラインを読んでいて気づいたことをメモ。


p.7,『図6 フィッシング詐欺被害の抑止ポイント』
図では、フィッシング詐欺の防止策を講じるポイントとして、
  1. フィッシングメール送信
  2. フィッシングサイト閲覧
  3. データ入力
  4. という、三つのポイントを挙げている。
フィッシングサイトを作成する際、フィッシャー(=悪意あるサイトの運営者)はサイト運営者のWebページをコピーし、よく似たサイトを作るという。
ということは、Webページをコピーして、よく似たサイトを作成する段階にも脆弱性はあると言えないだろうか。
技術的に、既存の方法では(Webページをコピーし、よく似たサイトを作成することを防止するような)対策は困難だと思う(何らかのソリューションが必要となる)。ガイドラインの作成には、当然エンジニアもかかわっているはずだから、対策の講じやすい場所と、講じにくい場所(コストがかかる場所)はどこか、というところも踏み込んで欲しい。
p.14,l.27,『【要件】 △認証画面には顧客個別のマーク等を表示できるようにする』
たぶんCAPTCHAのことを言っているのだろう。
p.15,l.31,『【要件】 ○重要情報の表示については制限を行う』
ネット通販などで、特定商取引法に基づく確認画面にクレジット番号を表示する際は、番号の一部を隠しなさいよ、という話。
しかし、サイト運営者によって隠している場所と表示する場所がバラバラの上、クレジットカードの番号って、じつはカード会社がわかれば何桁かは推測可能だったりする。その意味では保護される桁数は実際のクレジットカード番号の桁数のうち何割かにすぎない。
p.18,l.31~32,『例えば、フィッシング対策協議会のドメイン名は"antiphishing.jp"であるが"antiphising.jp"、"antifishing.jp"等は、顧客にとっては区別がつきにくいものと考えられる。』
これはひどい
FC2ブックマーク | この記事をokyuuへインポート | このエントリーを含むはてなブックマーク | ニフティクリップへ追加 | この記事をクリップ! | イザ!ブックマーク | POOKMARK Airlinesに登録する | del.icio.us |
動作未検証 | | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証

[Security][Mail] Web上のアドレスをクリックしてメールを送信するとCcやBccに気付かない可能性

 過去記事ageです。『続きを読む』で追記も参照願います。


Web上のアドレスをクリックしてメールを送信するとCcやBccに気付かない可能性

 Webページ上に埋め込まれている「お問い合わせ」などのリンクをクリックした際、メール作成画面が表示されることがあります。 このとき、メール作成画面を開くリンクには

<a href="mailto:~"></a>

を指定しますが、このタグ中に?subject=などのオプションを追加するとメールの件名などを自動的に追加できます。
 このニュースは、その仕掛けを悪用(?)して、勝手にCCやBCCを挿入するというもの。通常CCやBCCをメール作成時に表示しないメーラーを利用していると、知らないうちに第三者にメールアドレスやメール本文が開示される危険があると言う事です。

 ニュースの中で取り上げられているメーラーはどれも「安全」を売り物にしているものばかりです。 メーラーの危険というと、どうしてもウィルスやトロイの木馬などに目が向いてしまいますが、この種のソーシャルハッキング的な手口にも注意せねばなりません。

(旧題『今日のニュース』,2005/05/27,06:23)

more...

FC2ブックマーク | この記事をokyuuへインポート | このエントリーを含むはてなブックマーク | ニフティクリップへ追加 | この記事をクリップ! | イザ!ブックマーク | POOKMARK Airlinesに登録する | del.icio.us |
動作未検証 | | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証 | 動作未検証
カレンダー
09 | 2019/10 | 11
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -
最近の記事
月別アーカイブ
カテゴリー
ブログ内検索
RSSフィード
リンク
いろいろリンクボタン
埋め込みe-Words