予想通り?Passportにセキュリティホール 35
ストーリー by wakatono
財布の中身が丸見え? 部門より
財布の中身が丸見え? 部門より
Dot.Zeile 曰く,"ZD-NETの速報記事によれば、Microsoft社のPassportサービスにセキュリティホールが発見された模様。これを受けて現在サービスの一部が停止されているとのことです。まあ、Microsoftのセキュリティに関する実績から考えれば、何らかの穴があるのは当然ではあるのですが…予想通りと言えばあまりにも予想通り過ぎですかねえ。"
元記事を読むと、Walletサービスに穴があったように書いてある。もしかしてシースルーの財布という仕様だったのか?
Cnetではクロスサイト・スクリプティング脆弱性と (スコア:4, 参考になる)
セキュリティmemoのメーリングリストで高木氏が前からこの脆弱性については指摘していた。
最新の話題は、このクリップボードの貼り付けの問題。
Re:Cnetではクロスサイト・スクリプティング脆弱性と (スコア:2)
久々に「仕様です」で笑いました.....って、笑い事じゃないんですけどね。早速IE(諸般の事情で使ってます)のセキュリティ設定を変更しましたぜ。
発見者はApache Software Foundationの人 (スコア:1)
詳細な記述が (スコア:4, 興味深い)
詳細は読めていませんが、cookieベースの認証システム、15分という長めに取られたタイムアウト値、クロスサイトスクリプティングのセキュリティホール、などが関係しているようです。
現在Walletサービスは再開されており、改善点としては、以前は15分だったタイムアウトが2分ほどに再設定されている模様。これがどの程度有効であるかについては疑問符がつきます。
「僕が侵入方法を実証するのに30分程度しかかからなかったというのに、MSは今まで何やってたんだろ」という記述には、結果の重大さを思えばぞっとさせられますね…。
Re:詳細な記述が (スコア:1)
よくよく考えると、マイクロソフトのような巨人がバグバグなシステムを出してくることで、この手のサービスが実際に日常生活で皆が使うようになるころには、堅固で安心して使えるようになるのでは。
いま現在の技術でめちゃくちゃ安心できるシステムだと、皆が使い始める頃に大きな問題が出てきて回避するのが面倒になりそうですよね。わざわざ巨人が適当に実装してくれるおかげで、同じサービスの代替手段の出現など、一般ユーザとしてはWelcomeなような気もします。
Re:詳細な記述が (スコア:1)
あったりしたら、結局そちらを使っちゃうんでしょうね。いくら悪くても。
となると、やっぱり巨人にもある程度まともに実装してもらいたいものだけど。
# ほんとにいいものが最後に残るわけじゃないからね。
財布(wallet)に穴 (スコア:2)
財布(Wallet)に「穴」ねぇ。
象徴的ですねぇ。
おっと、象徴じゃなくて現実か。
財布の穴 (スコア:2)
が、きっと Microsoft 以外の所に通じてしまっていたのでしょう。
次のバージョンで財布の穴が Microsoft だけに直結するようきちんと修正されることと期待しております。
直結 (スコア:1)
小手先の技術しか使わないから? (スコア:2, 興味深い)
つまるところ、サービス展開の速度を重視するあまりに原理をないがしろにしているところに問題があるんじゃないでしょうか。
たとえば、一方通行函数とか、ゼロ知識証明などの原理的に破ることができない技術をベースにしてシステムを構築するべきなのに、スクリプトやらクッキーやらといった小手先の技術で逃げようとするからこういう事になる。
この姿勢が変わらない限り、Microsoftは永遠にこの手の問題を起こしつづけるに違いないと思います。
Re:小手先の技術しか使わないから? (スコア:3, 興味深い)
少し古いけど、Webの持つ脆弱性についての一解説がIBMのこのサイトにあります。
新しい資料は、たとえば「クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策」がわかりやすいです。
Re:小手先の技術しか使わないから? (スコア:3, 興味深い)
「まず便利なものを提供して、問題はでてから修正すればいい」ですよね。
オフィスアプリケーションなどはバックアップを注意深く行うことでこの問題をなんとか回避できるわけですが、この方法論をお金とかプライバシーとかセキュリティなど、ミスが許されない領域にまで持ち込んでいることが問題なのだと思います。
OfficeXPの「落ちてもデータは安全」という広告に対して「その前に落ちないものを作れ」と突っ込んだ人は多いと思いますが、それと同じ話です。
コンピューティングの革新とかユーザーの望むものを、という甘い言葉を盾にユーザーをないがしろにしているという事実をもっと訴えていかないといけないでしょうね。
きっとゲイツさんの言い訳はこうだ (スコア:2, おもしろおかしい)
偽造される可能性があるからって、
「紙幣にセキュリティーホールがある!!」と君達は言うのかい?
偽造する奴が悪いんだ。
# mishimaは本田透先生を熱烈に応援しています
Re:きっとゲイツさんの言い訳はこうだ (スコア:2)
二千円札は滅んではいない… (スコア:2)
-- wanna be the biggest dreamer
あれが最後の (スコア:2)
このサービス (スコア:1)
Re:このサービス (スコア:3, すばらしい洞察)
っていうか、そもそも、現在のHTTPでセッション的な動作をさせようとするのが誤りでしょ。
サーバへの要求がキツくなっても、HTTPで本当のセッションが使えるように、まず、そういった規格が出るべきじゃ?
CookieやらGETパラメータやらを用いた似非セッションで頑張るなら、似非所以の弱点を知り尽くした上で、それぞれの弱点が破られても許容できる用途かどうかを判断してやってもらいたいもんです。
Re:このサービス (スコア:1)
現実的問題として (スコア:0)
e-commers全部の信用がた落ちのような気がする。
ほとんどの個人ユーザー、そして多くの法人ユーザーがWinを使っている現状を考えると、『がた落ち』の状態が『正しい認識』と言えるかも。
このWalletって (スコア:1)
これがつかえそうなサイトも見たことないし。
私にとっては、インストールされていたら真っ先に消す
アドインのひとつなんですが。
Re:このWalletって (スコア:2)
バージョンが上がると、MSNサインアップをはじめとしたバンドルされる余計なソフトが増えるので、サードパーティソフトのインストール作業前のアンインストールが増えて困るよね。それで消したら毎回再起動だよ。
っていうか、XPてHDDが最低で1.5GBytesいるんだね。MSのシステム要件を参考
どうせなら (スコア:1)
-- By Grabthar's Hammer!
閣下ご自身は? (スコア:1)
管理されているのでしょうか?
まずは、ご自身から使っていただかないと、下々としては
とても信用出来ませんね。
限界桁数の運用テストもついでに出来そうだし、
自分の財布のためなら信頼性の向上にまじめに取り組むでしょう。
Re:閣下ご自身は? (スコア:0)
Re:閣下ご自身は? (スコア:0)
前日まではあったみたいだし、他の地域にはまだあるかもしれないけど。
心配なのは (スコア:1)
塞いだはずの穴が次のバージョンで復活するんですよね。セキュリティに関する筋の通った考えがないので、対処療法はできるけれどセキュアなシステム構築の経験値が一向にあがらない。それともパッチを穴のあったソースに統合するのがそんなに難しいようなコードを書いているのでしょうか。
MFCを見ていると、後者のような気もしますが。
Re:心配なのは (スコア:1, 興味深い)
という話は別にして、
純粋な「職業」プログラマ(単なるお仕事としてソフトを書いてる人々)
というのはかなりセキュリティに無頓着、っていう感じがします。
普通に動かしててコケるコードを書いたらガンガン言われて直させられますが
バッファオーバーフローにしてもクロスサイトスクリプティングにしても
かなり計算されたアタックを掛けられない限り問題が露呈しないわけだし
普通のソフトのバグ出しのプロセスだと、それ以前のレベルのバグ出しで精一杯。
よほどコードを書いている本人の意識が高いか、
さもなければ組織全体の意識が高いか、
でないとできてくるコードのセキュリティって向上しません。
先日内製の小さなWebサーバの開発にかかわるミーティングに出席したのですが
うちみたいな場末のソフト開発現場では、バッファオーバーフローという言葉すら
一般化していません。そりゃあ取ったバッファより長い入力を受け取れば
オーバーフローするのはするでしょうけど何が問題なんですか?
そもそもそんな入力入れる奴ぁいませんよ。
クラッシュするだけだしクリティカルな用途じゃないし、
リスタートすればOKでしょ?みたいなトーンです。
どういうリスクがあるか自分のレベルで精一杯解説するメールを書きながら、
ああMSでもこんなレベルの奴がいっぱい働いてんだろうなあ、と想像しているんだけど。
Re:心配なのは (スコア:1)
> というのはかなりセキュリティに無頓着、っていう感じがします。
まったく同感です。
私の居たSIでは、特定分野の専門部隊が存在していたいため、
特定の技術・製品に関するセキュリティなどの情報が
管理されていません。
私がかかわったWebアプリケーションの場合でも、
クロスサイトスクリプティングの脆弱性は認識されていませんでした。
Web系システムではセッション管理などに特に気をつけて
設計しなければならないにもかかわらず、
大半が普通の業務システム系SEが設計しているのが
現状ではないでしょうか。
産業技術総合研究所の高木浩光氏の調査でも、調査対象の大半の商用サイトでクロスサイトスクリプティングの
脆弱性が確認されています。
Re:心配なのは (スコア:1)
問題は、Microsoftのセキュア経験値が一向に増えないことです。
現状は、いつまでも同じ間違いを繰り返している鶏頭状態でしょう?元がスタンド・アローン屋さんだから最初は分からないのも無理はないけれど、経験したことくらい学んでほしい。周りにも迷惑がかかっちゃうんだからさ、いつまでもインターネットのお荷物でいるのはどうかと思うぞ。
それができないのなら、Windowsからインターネット接続できないようにして、昔のMsNでがんばってほしい。インターネットはWindowsが使えないMS劣等民が大事に育てますから:^)。
予定(余計なもの) (スコア:0)
MSの実績なら「予定」といって差し支えない。
たまには、期待を裏切って欲しいね。
By シャム
証拠は全くない? (スコア:0)
ロジカルじゃない (スコア:0, 参考になる)
対象となるサービスを行っている企業への
アンチのつもりなのかも知れないが。
Re:ロジカルじゃない (スコア:0)
それはそれとして、荒らしと評価されるほどのものかな?
Re:ロジカルじゃない (スコア:0)