アカウント名:
パスワード:
Yahoo!との統合でログイン方法がYahoo! IDでのみになって久しいですが、ここは以下の様な脆弱性を認めつつも放置&開き直りする酷い企業です仕方無く利用せざる方も多いかと思いますが、十分注意して利用しましょう!
~ 脆弱性について ~1. Tサイトのログインページを開き、Yahoo!のIDとパスワードでログインする2. Tサイトからログアウトする(一見、一緒にYahoo!もログアウトできた様に見える)3. ブラウザを閉じずにそのままYahoo!のサイトを開く4. Yahoo!では既にログインされた状態となっており、登録情報の確認等の パスワードを再度求められるもの以外は全て操作・閲覧が可能な状態 メールの閲覧やヤフオク!の入札等も普通にできる
~ 対策 ~a. TサイトにYahoo! IDでログインした際は、ログアウト後に必ずブラウザを 終了させ、ブラウザの他のプロセスが残っていないかを確認する (例えば、画面上に表示不可能な座標で隠しウィンドウを表示し続ける様な ウィルス等を仕込まれていた場合、Yahoo!のセッションが維持されてしまう為、 上記4の様にYahoo!でのログイン状態が維持されてしまう)b. Tサイトをログアウト後にYahoo!のサイトを開き、Yahoo!でもログアウトする (面倒だが、上記aの()内に書いた事への対策にもなる)
~ Tサイト(CCC)サポートセンターへ電話した際の回答 ~『強制的にYahoo! IDのみでしかログインできなくしたのは当社の都合だがその後Yahoo!のサイトでログインしたままになるのは当社の責任では無い文句が有るならYahoo!に言えよ、タコ!』との事で聞く耳を持たず1つの例だが、メルマガにログインIDを度々記載し、パスワードの問い合わせがログインIDとメールアドレスの情報だけで済むGポイントの登録にYahoo! メールを使用していた場合、万が一の際の破壊力は甚大なものになるこれは例に過ぎないが、似た様なケースは他サイトにおいても十分起こり得るしクラッカー側もさぞかし楽をできる事だろう※参考 : Gポイントのパスワード問い合わせフォーム https://www.gpoint.co.jp/scripts/support/SupportNewPwdEntry.do [gpoint.co.jp]
認証連携において、SP/RPでのログアウト操作後もIdPのログイン状態が継続されるのは、認証連携としては一般的ではないでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
ここ(Yahoo!を含む)は本当にダメダメ! (スコア:0)
Yahoo!との統合でログイン方法がYahoo! IDでのみになって久しいですが、
ここは以下の様な脆弱性を認めつつも放置&開き直りする酷い企業です
仕方無く利用せざる方も多いかと思いますが、十分注意して利用しましょう!
~ 脆弱性について ~
1. Tサイトのログインページを開き、Yahoo!のIDとパスワードでログインする
2. Tサイトからログアウトする(一見、一緒にYahoo!もログアウトできた様に見える)
3. ブラウザを閉じずにそのままYahoo!のサイトを開く
4. Yahoo!では既にログインされた状態となっており、登録情報の確認等の
パスワードを再度求められるもの以外は全て操作・閲覧が可能な状態
メールの閲覧やヤフオク!の入札等も普通にできる
~ 対策 ~
a. TサイトにYahoo! IDでログインした際は、ログアウト後に必ずブラウザを
終了させ、ブラウザの他のプロセスが残っていないかを確認する
(例えば、画面上に表示不可能な座標で隠しウィンドウを表示し続ける様な
ウィルス等を仕込まれていた場合、Yahoo!のセッションが維持されてしまう為、
上記4の様にYahoo!でのログイン状態が維持されてしまう)
b. Tサイトをログアウト後にYahoo!のサイトを開き、Yahoo!でもログアウトする
(面倒だが、上記aの()内に書いた事への対策にもなる)
~ Tサイト(CCC)サポートセンターへ電話した際の回答 ~
『強制的にYahoo! IDのみでしかログインできなくしたのは当社の都合だが
その後Yahoo!のサイトでログインしたままになるのは当社の責任では無い
文句が有るならYahoo!に言えよ、タコ!』との事で聞く耳を持たず
1つの例だが、メルマガにログインIDを度々記載し、パスワードの問い合わせが
ログインIDとメールアドレスの情報だけで済むGポイントの登録にYahoo! メールを
使用していた場合、万が一の際の破壊力は甚大なものになる
これは例に過ぎないが、似た様なケースは他サイトにおいても十分起こり得るし
クラッカー側もさぞかし楽をできる事だろう
※参考 : Gポイントのパスワード問い合わせフォーム
https://www.gpoint.co.jp/scripts/support/SupportNewPwdEntry.do [gpoint.co.jp]
Re:ここ(Yahoo!を含む)は本当にダメダメ! (スコア:2)
認証連携において、SP/RPでのログアウト操作後もIdPのログイン状態が継続されるのは、認証連携としては一般的ではないでしょうか。