パスワードを忘れた? アカウント作成
12283948 story
セキュリティ

RC4暗号の脆弱性を使ったセッションハイジャック手法が発表される 15

ストーリー by hylom
RC4も役目を終えた感 部門より
あるAnonymous Coward 曰く、

RC4暗号の脆弱性を使い、HTTPSでのWeb閲覧時にそのCookieを解読する新たな攻撃手法が見つかったそうだ(ITmedia)。

この攻撃は、JavaScriptを使ってRC4で暗号化されたリクエストを大量に送信させるというもの。その大量の暗号化されたリクエストの中から、Cookieなどの繰り返し送信されるデータを解読するというものである。

中間者攻撃が可能な状態でCookieが漏れた場合、サーバー側のCookieの取扱いによってはセッションハイジャックが行われる可能性がある。そのため公衆無線LANサービスを使う場合にはブラウザのRC4暗号を無効にするなどの対策が望ましい(RC4を無効にする方法)。

発見者はRC4 NOMOREというサイトを立ち上げて、RC4を使わないよう注意喚起を行っている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年07月23日 17時09分 (#2852143)

    Mozillaの収集した、モダンブラウザでもRC4暗号しか使えないサイト一覧より、jpドメインのものを抜き出して、解決済みかどうかテストしてみました。
    https://bug1124039.bmoattachments.org/attachment.cgi?id=8590472 [bmoattachments.org]

    access.i-revo.jp → 解決
    auth.hitachi-capital.co.jp → 未解決
    corp.valuegolf.co.jp → 解決 (RC4自体は有効)
    help.i-revo.jp → 解決
    jbpress.ismedia.jp → 未解決
    member.i-revo.jp → 解決
    members.jafp.or.jp → 解決 (脆弱性あり)
    mp.i-revo.jp → 解決
    myportal.brother.co.jp → 未解決
    ogm.valuegolf.co.jp → 解決 (RC4自体は有効)
    one.valuegolf.co.jp → 解決 (RC4自体は有効)
    secure.nissan.co.jp → 未解決
    www.a-pat.jra.go.jp → 未解決
    www.jaccs.co.jp → 未解決
    www.jafp.or.jp → 解決 (RC4自体は有効)
    www.ukr.jp → 未解決
    www.valuegolf.co.jp → 解決 (RC4自体は有効)

    まだ未解決なところもありますね。早く何とかしてほしいところ。

    • by Anonymous Coward

      ついでに、未解決なサーバーの環境も調べてみました (Netcraftより)。

      auth.hitachi-capital.co.jp → Linux / WebSEAL/7.0.0.0 Build 121024
      jbpress.ismedia.jp → F5 BIG-IP / 不明
      myportal.brother.co.jp → F5 BIG-IP / BigIP
      secure.nissan.co.jp → Linux / IBM_HTTP_Server
      www.a-pat.jra.go.jp → F5 BIG-IP / Apache
      www.jaccs.co.jp → 不明
      www.ukr.jp → Windows Server 2008 / 4D_WebStar_D/2004

      うーん、やっぱり特殊な環境が多いですね。

      IBM Tivoli Access Manager WebSEAL の概説
      http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1134-01/ja_JA/HTML/... [ibm.com]

    • by Anonymous Coward

      そのリストには含まれていないけど、
      www.jpcert.or.jp → IPv6のみ未解決
      なんてのがある。IPv6のサーバー立てたの忘れてて放置状態なんだろうか。

  • by Anonymous Coward on 2015年07月23日 14時55分 (#2852082)

    Mozilla.org 推奨 CipherSuite の書き方
    https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility [mozilla.org]
    Apacheもnginxも基本的にこのコピペでOK

  • by Anonymous Coward on 2015年07月23日 15時51分 (#2852113)

    なぜハイをつけるのか・・・、セッションジャックでいいじゃないか。

    • by Anonymous Coward

      session hijacking 由来の外来語ですから、わざわざ和製英語風にしても混乱を招くだけです

    • by Anonymous Coward

      ハイジャックを何だと思ってるんです?

      • by Anonymous Coward

        とはいえ、バスジャックとはいうよね...和製英語だそうですが。

        ハイジャック
        https://ja.wikipedia.org/wiki/%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%... [wikipedia.org]

        ジャックだけでハイジャック(名詞ならばハイジャッキング?)の意味に使いたいという誘惑も分からなくはない。

        • by Anonymous Coward

          アメリカでもskyjack, seajackあたりは俗語として成立してるようだから、結局みんな考えることは同じらしい。

          • by Anonymous Coward

            単独のjackに強盗の意味はないけれど、接尾辞の-jackにはあるんだから、仕方がないね。ただ、highwayやseaは強盗の目的語じゃなくて、強盗の居場所を指すだけの形容詞的な名詞だから、session-jackingはやはり不自然。英語でも飛行機のハイジャックはaircraft hijackingっていうから、動詞の時はhiを省略しない。敢えて言うなら、webjackとかじゃないの?セッション「を」乗っ取るなら、session hijackingじゃないと。

    • by Anonymous Coward

      ケチを付ける前には1回ググる癖を付けましょう。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...