アカウント名:
パスワード:
パスワード変更の時に、スラドだと新規パスワードしか入れないでいいような仕様になってるみたいだけど、 ここを旧パスワードもチェックするようにすれば、少なくともパスワードを変えられてしまう事は防げるんじゃないだろうか。
登録しているメールアドレスをみられる,ということだと思います。リアルのアドレスを知られると高い確率で身元が割れます。
・他のサイトも含めたクッキーを盗み放題
IE経由でウイルスとかトロイとかをローカルに入れられる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:5, 参考になる)
Slash CodeでCookieがどう使われているかがを考えれば,
この脆弱性は致命的だ。すでに実証コードも出ている。
スラッシュドットジャパンの管理者へ
NamazuのUpdateが完了するまでnamazu.cgiをとめろ!
今すぐだ! 今すぐ!
あ,対処されましたね (スコア:1)
とりあえず,アクセスログは保存しておいて,
後日チェックはしておいてください。
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:0)
まだ止まってないよ。
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:0)
私の認識だと
・スラッシュドット内でのなりすまし → 荒らし、日記削除(?)
くらいの脅威しか思いつかないんですが実際にはたとえば
・他のサイトも含めたクッキーを盗み放題 → 使い方によっては危険
・任意のブラウザバグコードを埋め込む
→
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:2, 参考になる)
上にもあるけどログアウトしてたらcookieの中身は読まなかったので、ログアウトするしか。
#といいつつID。
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:2, 興味深い)
ここを旧パスワードもチェックするようにすれば、少なくともパスワードを変えられてしまう事は防げるんじゃないだろうか。
割と一般的な仕様ではあると思いますが。それでも、メールアドレスなどの個人情報を覗かれるのや、荒らしに使われたり日記削除などされる事に関しては防げないけど、最低限の防御体制ということで。
あと、もし可能ならばだけれども、自分のIDにログインしたユーザのIPなどの記録が閲覧できるといいですね。自分だけでいいので。
そうすれば、悪用された可能性の自己チェックができます。
パスワード変更 (スコア:2, 興味深い)
新規アカウント取得のときmax24文字のパスワードが指示されていて、設定できる
(20文字以上のパスワード設定なのでログイン不能におちいる)
というバグというか新規ユーザへの罠は改善されたのでしょうか?
あと、パスワードに使用できない文字が指示されていない罠とかも。
(これも、パスワード設定はできるがログイン不可になる)
Re:パスワード変更 (スコア:0)
後者 [osdn.jp]は結局どうなったんだ?
#試せよ>自分
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:1)
今回のインシデントをきっかけとした改善点として,この仕様(?)は修正するべきだと思います。パスワード変更時に旧パスワードを要求するようになれば,Cookieをぬきとられても,パスワードを変更されてアカウントをのっとられる危険が大きく減ります。
アカウントののっとりが発生するととんでもないことになります。のっとられたアカウントがある程度以上ある状況では,アクティブなユーザーに対して「このIDは本来私のものだったのにのっとられた」と管理者に連絡する,という「攻撃」が可能になってしまいます。
私はPerlがほとんど読めないのでコードをちゃんとチェックしてないのですが,現在のSlash Codeでは「のっとられたアカウント」と「正規のユーザーが使いつづけているアカウント」の区別をつけるのがシステム的に非常に難しいのではないでしょうか。
このような「攻撃」がおこなわれると,多くのIDを無効化する必要が出てしまうでしょう。結果としてSlashdot Japanというコミュニティ自体に取り返しのつかないダメージを与えることになってしまいます。
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:1, 参考になる)
>実際どれくらい危ないんでしょうか?
/.Jのセッションをのっとられた場合,何より怖いのは
ユーザー情報にアクセスされて,登録しているメールアドレスを
みられる,ということだと思います。リアルのアドレスを知られると
高い確率で身元が割れます。
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:0)
そんなに重要なメールアドレスを登録しているんですか?
スラドの登録アドレスごとき、フリーのウェブメールで十分では?
リスクを背負わせる場所を間違っているような感じがしますが。
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:0)
mail addressを/.なんかに登録しちゃいかんでしょう。
Re:/.Jのnamazu.cgiをとめろ! 今すぐ! (スコア:0)