パスワードを忘れた? アカウント作成
1461 story

予想通り?Passportにセキュリティホール 35

ストーリー by wakatono
財布の中身が丸見え? 部門より

Dot.Zeile 曰く,"ZD-NETの速報記事によれば、Microsoft社のPassportサービスにセキュリティホールが発見された模様。これを受けて現在サービスの一部が停止されているとのことです。まあ、Microsoftのセキュリティに関する実績から考えれば、何らかの穴があるのは当然ではあるのですが…予想通りと言えばあまりにも予想通り過ぎですかねえ。"

元記事を読むと、Walletサービスに穴があったように書いてある。もしかしてシースルーの財布という仕様だったのか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • クロスサイト・スクリプティング脆弱性が原因と書かれていますね。
     セキュリティmemoのメーリングリストで高木氏が前からこの脆弱性については指摘していた。
     最新の話題は、このクリップボードの貼り付けの問題。
  • by Dot.Zeile (1169) on 2001年11月05日 13時08分 (#35628) 日記
    セキュリティホールの内容に関する説明がこちらにあります。

    詳細は読めていませんが、cookieベースの認証システム、15分という長めに取られたタイムアウト値、クロスサイトスクリプティングのセキュリティホール、などが関係しているようです。

    現在Walletサービスは再開されており、改善点としては、以前は15分だったタイムアウトが2分ほどに再設定されている模様。これがどの程度有効であるかについては疑問符がつきます。

    「僕が侵入方法を実証するのに30分程度しかかからなかったというのに、MSは今まで何やってたんだろ」という記述には、結果の重大さを思えばぞっとさせられますね…。
    • by namatias (4000) on 2001年11月05日 22時19分 (#35773) 日記

      よくよく考えると、マイクロソフトのような巨人がバグバグなシステムを出してくることで、この手のサービスが実際に日常生活で皆が使うようになるころには、堅固で安心して使えるようになるのでは。

      いま現在の技術でめちゃくちゃ安心できるシステムだと、皆が使い始める頃に大きな問題が出てきて回避するのが面倒になりそうですよね。わざわざ巨人が適当に実装してくれるおかげで、同じサービスの代替手段の出現など、一般ユーザとしてはWelcomeなような気もします。

      親コメント
      • by nobichan (4085) on 2001年11月06日 16時42分 (#35975) 日記
        でも、一番最初に出してきた巨人のシステムが一番ネームバリューが
        あったりしたら、結局そちらを使っちゃうんでしょうね。いくら悪くても。
        となると、やっぱり巨人にもある程度まともに実装してもらいたいものだけど。
        # ほんとにいいものが最後に残るわけじゃないからね。
        親コメント

  • 財布(Wallet)に「穴」ねぇ。
    象徴的ですねぇ。

    おっと、象徴じゃなくて現実か。

  • by oku (4610) on 2001年11月05日 12時32分 (#35623) 日記

    が、きっと Microsoft 以外の所に通じてしまっていたのでしょう。

    次のバージョンで財布の穴が Microsoft だけに直結するようきちんと修正されることと期待しております。

  • by nackey (3237) on 2001年11月05日 15時10分 (#35654)
    この分野には詳しくないので、間違ってたら指摘してください。

    つまるところ、サービス展開の速度を重視するあまりに原理をないがしろにしているところに問題があるんじゃないでしょうか。
    たとえば、一方通行函数とか、ゼロ知識証明などの原理的に破ることができない技術をベースにしてシステムを構築するべきなのに、スクリプトやらクッキーやらといった小手先の技術で逃げようとするからこういう事になる。

    この姿勢が変わらない限り、Microsoftは永遠にこの手の問題を起こしつづけるに違いないと思います。
  • by mishima (737) on 2001年11月05日 15時24分 (#35659) ホームページ 日記
    これはセキュリティーホールじゃないんだ。
    偽造される可能性があるからって、
    「紙幣にセキュリティーホールがある!!」と君達は言うのかい?
    偽造する奴が悪いんだ。
    --
    # mishimaは本田透先生を熱烈に応援しています
  • 大成功したらMSの一人勝ち、セキュリティがらみで失敗するとほとんどの人がWindowsユーザと言う現状からe-commers全部の信用がた落ちのような気がする。
    • Re:このサービス (スコア:3, すばらしい洞察)

      by tomatsu (2545) on 2001年11月05日 19時09分 (#35709)

      っていうか、そもそも、現在のHTTPでセッション的な動作をさせようとするのが誤りでしょ。

      サーバへの要求がキツくなっても、HTTPで本当のセッションが使えるように、まず、そういった規格が出るべきじゃ?

      CookieやらGETパラメータやらを用いた似非セッションで頑張るなら、似非所以の弱点を知り尽くした上で、それぞれの弱点が破られても許容できる用途かどうかを判断してやってもらいたいもんです。

      親コメント
    • by Anonymous Coward
      一部のみの引用で失礼します。

        e-commers全部の信用がた落ちのような気がする。

      ほとんどの個人ユーザー、そして多くの法人ユーザーがWinを使っている現状を考えると、『がた落ち』の状態が『正しい認識』と言えるかも。
  • by Fortune (6210) on 2001年11月05日 14時05分 (#35636) 日記
    使っている人どれぐらいいるんだろう?
    これがつかえそうなサイトも見たことないし。

    私にとっては、インストールされていたら真っ先に消す
    アドインのひとつなんですが。
  • by Zerow_jp (945) on 2001年11月05日 15時50分 (#35662) 日記
    名称をwalletからBillgateに変えませんか?>ゲイツ閣下
    --
    -- By Grabthar's Hammer!
  • >まあ、Microsoftのセキュリティに関する実績から考えれば、

    塞いだはずの穴が次のバージョンで復活するんですよね。セキュリティに関する筋の通った考えがないので、対処療法はできるけれどセキュアなシステム構築の経験値が一向にあがらない。それともパッチを穴のあったソースに統合するのがそんなに難しいようなコードを書いているのでしょうか。
    MFCを見ていると、後者のような気もしますが。
    • by Anonymous Coward on 2001年11月06日 10時34分 (#35860)
      Microsoftみたいな規模と責任を持つソフト屋がそんなことでいいのか、
      という話は別にして、
      純粋な「職業」プログラマ(単なるお仕事としてソフトを書いてる人々)
      というのはかなりセキュリティに無頓着、っていう感じがします。
      普通に動かしててコケるコードを書いたらガンガン言われて直させられますが
      バッファオーバーフローにしてもクロスサイトスクリプティングにしても
      かなり計算されたアタックを掛けられない限り問題が露呈しないわけだし
      普通のソフトのバグ出しのプロセスだと、それ以前のレベルのバグ出しで精一杯。
      よほどコードを書いている本人の意識が高いか、
      さもなければ組織全体の意識が高いか、
      でないとできてくるコードのセキュリティって向上しません。
      先日内製の小さなWebサーバの開発にかかわるミーティングに出席したのですが
      うちみたいな場末のソフト開発現場では、バッファオーバーフローという言葉すら
      一般化していません。そりゃあ取ったバッファより長い入力を受け取れば
      オーバーフローするのはするでしょうけど何が問題なんですか?
      そもそもそんな入力入れる奴ぁいませんよ。
      クラッシュするだけだしクリティカルな用途じゃないし、
      リスタートすればOKでしょ?みたいなトーンです。
      どういうリスクがあるか自分のレベルで精一杯解説するメールを書きながら、
      ああMSでもこんなレベルの奴がいっぱい働いてんだろうなあ、と想像しているんだけど。
      親コメント
      • > 純粋な「職業」プログラマ(単なるお仕事としてソフトを書いてる人々)
        > というのはかなりセキュリティに無頓着、っていう感じがします。

        まったく同感です。
        私の居たSIでは、特定分野の専門部隊が存在していたいため、
        特定の技術・製品に関するセキュリティなどの情報が
        管理されていません。
        私がかかわったWebアプリケーションの場合でも、
        クロスサイトスクリプティングの脆弱性は認識されていませんでした。

        Web系システムではセッション管理などに特に気をつけて
        設計しなければならないにもかかわらず、
        大半が普通の業務システム系SEが設計しているのが
        現状ではないでしょうか。

        産業技術総合研究所の高木浩光氏の調査でも、調査対象の大半の商用サイトでクロスサイトスクリプティングの
        脆弱性が確認されています。
        親コメント
        • セキュアなシステム構築が難しいのは分かります。わたしだってIBMのサイトで勉強するまではバッファ・オーバーフローの本当の恐さを知らなかったし、セキュア方面は経験を積まないとなかなか分かることではないと思います。

          問題は、Microsoftのセキュア経験値が一向に増えないことです。
          現状は、いつまでも同じ間違いを繰り返している鶏頭状態でしょう?元がスタンド・アローン屋さんだから最初は分からないのも無理はないけれど、経験したことくらい学んでほしい。周りにも迷惑がかかっちゃうんだからさ、いつまでもインターネットのお荷物でいるのはどうかと思うぞ。
          それができないのなら、Windowsからインターネット接続できないようにして、昔のMsNでがんばってほしい。インターネットはWindowsが使えないMS劣等民が大事に育てますから:^)。
          親コメント
  • by Anonymous Coward on 2001年11月05日 13時11分 (#35629)
    > 予想通りと言えばあまりにも予想通り過ぎですかねえ。

    MSの実績なら「予定」といって差し支えない。
    たまには、期待を裏切って欲しいね。
    By シャム
  • by Anonymous Coward on 2001年11月05日 19時50分 (#35724)
    ロイターの報道によると、
    同マネジャーは、「誰かがこの不備を利用したことを示す証拠は全くない」と述べたという。
    「この不備が利用されなかったことを示す証拠がある」でなくて、「この不備が利用された証拠はない」なのね。 証拠を残さない手口だったらもう何も信用できないわけね。
  • by Anonymous Coward on 2001年11月05日 20時16分 (#35732)
    恣意的な論調は、サイトの品位を落とす。
    対象となるサービスを行っている企業への
    アンチのつもりなのかも知れないが。
    • シースルーという表現は、記事のまとめに使うのはいまひとつと思ったが、記事が出た時点では詳細は不明だったので、書きようがなかったのもわかる。
      それはそれとして、荒らしと評価されるほどのものかな?
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...