アカウント名:
パスワード:
> 再発防止策:> 従来より「LINE」の各機能リリース前に行うセキュリティ担当による脆弱性検査は実施しておりますが、本件事案で受けた攻撃内容を踏まえ、フィッシングおよびソーシャルハッキング※等の悪用による非技術的な残存リスクの確認を、より一層強化いたします。
「本件事案で受けた攻撃内容」がソーシャルハッキング、つまり被害者にも過失があるかのようなミスリードをさせる文章ですね。
本件は、CSRF脆弱性です。
> 攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、Windows/Mac OS/iPad/Google Chrome版「LINE」にログインするためのQRコードのURLを、被害者に共有する。
そもそも、攻撃者が、被害者がアクセスして簡単な操作をするだけでログインできるURLを取得できる時点で誤り。少なくとも、URLにワンタイムなCSRFトークンを加えるべきでした(尤もURLは原則公開情報なのでそれが完璧な対策ではないですが利便性を優占する場合にはやむを得ない場合もあります)。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
CSRFに対して「非技術的な残存リスク」ですか (スコア:0)
> 再発防止策:
> 従来より「LINE」の各機能リリース前に行うセキュリティ担当による脆弱性検査は実施しておりますが、本件事案で受けた攻撃内容を踏まえ、フィッシングおよびソーシャルハッキング※等の悪用による非技術的な残存リスクの確認を、より一層強化いたします。
「本件事案で受けた攻撃内容」がソーシャルハッキング、つまり被害者にも過失があるかのようなミスリードをさせる文章ですね。
本件は、CSRF脆弱性です。
> 攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、Windows/Mac OS/iPad/Google Chrome版「LINE」にログインするためのQRコードのURLを、被害者に共有する。
そもそも、攻撃者が、被害者がアクセスして簡単な操作をするだけでログインできるURLを取得できる時点で誤り。
少なくとも、URLにワンタイムなCSRFトークンを加えるべきでした(尤もURLは原則公開情報なのでそれが完璧な対策ではないですが利便性を優占する場合にはやむを得ない場合もあります)。