パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Hotmailと.NET Passportにアカウント乗っ取りの大穴」記事へのコメント

  • by GSone (8994) on 2003年05月09日 2時29分 (#312000) 日記
    他でよくある
    >任意のコードを実行できる
    ってのとはちょっと違いますね、危機レベルが。
    任意のコードを実行できる穴というものは、
    結局それなりにコンピューターのことが分かってないと
    「悪用」する「方法」を思いつかないわけです。
    どのようなプログラムコードを走らせればいいか分からないレベルの
    人間(私のような)には悪用は出来ないわけです。
    でも、
    >具体的には特定のURLを開くことにより、被害者のアカウントのパスワードを
    >再設定するためのURLが攻撃者の指定する任意のメールアドレスに送られてしまう
    なんていうのは、「特定のURL」の作り方さえわかっていれば、メーラーとブラウザの使い方しか
    わからないようなレベルの人間にも悪用が出来るわけですね。
    ヤバいことには、個人情報が漏れるだけでなく、そいつのHotmailをつかうことで
    「なりすまし」なんてことも出来てしまうわけですね。ターゲットが顔見知りだったら、
    人間関係をグダグダに壊すことも可能ということですね。ターゲットがHotmailを頻繁に使う人であれば。

     
    速攻、個人情報削除しました。 
    • by ruriha (15694) on 2003年05月11日 13時57分 (#313592)
      他でよくある
      >任意のコードを実行できる
      ってのとはちょっと違いますね、危機レベルが。
      「危機レベルが違う」とは私も思いますが、 その理由は、Passportが単独の製品ではなく、認証サービス であり、れっきとしたセキュリティ 製品であり、他の製品・サービスから共通に利用されるミドルウェアであり、これを利用する他の製品・サービスすべての安全性の基盤であるからです。Passportを利用する他の商品購入、代金請求とかのサービスの安全性はPassportが正しく動作することに依存します。

      セキュリティ製品がセキュリティ上の穴を もってるというのは、問題の深刻さとして ランクが違うと思うのです。

      セキュリティ製品を作る人は通常の開発者よりも セキュリティについて詳しい人であるべきで、 その開発は他の製品よりもより厳しい製造設計監査 プロセスを経ているべきであり、 おそまつな設計ミスがあったってことは、 これらがしかるべく機能していない可能性があるという ことを意味しています。

      親コメント

    • 結局それなりにコンピューターのことが分かってないと
      「悪用」する「方法」を思いつかないわけです。

      そ、そうかな。
      「それなり」にはいろんな解釈が可能ではあるけど、任意の
      コードを実行できるような穴の場合、とりあえずソフトを
      ダウンロードしてインストールして実行できる程度の知識が
      あれば、悪用は出来る
      んじゃないの。
      繋がってさえいれば、悪用の詳しい手順を自分で発明する必要は
      ないんだから。誰か一人だけは発明する必要があるだろうが。

      URLの方は、設定によっては自動的に開くブラウザや、相手に
      開かせるテクニックがかなり存在するとはいえ、実行には一応
      ワンステップあると思う。
      親コメント
    • メーリングリストの内容を読むと、本当に簡単そうに見えますね。
      これならHotMail以外にもう一つメールアドレスを持っている人であれば、自分のHotMail IDがクラック出来るか誰でも簡単に試せそうな気かしますが、誰か試してみませんか?

      #もう対策されているかな...
    • >速攻、個人情報削除しました。 
      ってゆうか、削除する以前に登録してあること自体、ヤバイと思います。
      管理意識、低すぎませんか?
      • by Anonymous Coward on 2003年05月09日 20時39分 (#312610)
        >管理意識、低すぎませんか?

        Passportってのは本来そういう使い方をするものです。
        カード番号やオンラインバンキングのパスワードなども含む
        あらゆる個人情報(それもとびきり濃いやつ)を集中管理することで
        管理の手間を減らし、情報の出入りを監視しやすくすることで
        安全性を高めるのがその役割です。

        ですから通常のアプリケーションよりはるかに堅牢なセキュリティが求められますし、
        MSはそれを達成していると公言してきたわけです。

        単に捨てアドのパスが漏れますよー、というレベルの事件ではないのですよこれは。

        #まあMSの言うことを信じること自体管理意識の欠如だ、というのは同意できるけど
        #Passport使わないと利用できないサービスもいっぱいあるんだよ
        親コメント
      • メールとかも個人情報の固まりかと思いますがこの場合は?
    • 今回の脆弱性を利用した攻撃が簡単であること、脆弱性によって受ける被害についてはほぼ同意できます。被害についてはむしろ過小に評価していると思いますけど。

      しかしながら今回の脆弱性は怪しいメールを開かないだけで回避
      • > 怪しいメールを開かないだけで回避可能

        違いますよ?
        あなたが知らぬ間に、他人があなたのパスワードを変更できてしまうというセキュリティホールなので、MSがきちんと対応しない限りユーザーは自衛できないはずです。

ソースを見ろ -- ある4桁UID

処理中...