2002-09-15 09:12:50 Slashcodeが一部ユーザのパスワードを漏らす (security,slashdot) (審査待ち)

1週間前のタレコミが審査待ちのままなので、ここに書いてみることにする。これだけ時間が経ってしまうと、これから採用するのもやりにくくなっていくのではないか。すぐに採用できないのには事情があったことだろうと思う。事実確認をしたり、開発元に状況を確認する時間が必要だったのかもしれない。 ただ、当時のパスワード（のMD5値）が漏れた人がいるのは事実で、このことが知らされれば当事者には対策をとるチャンスが与えられる。

18日にはJamie McCarthy氏からの詳しい分析結果がBUGTRAQに追加報告された。当初のタレコミの内容には追記すべき点が生まれたので、ますます採用されにくくなったように思う。以下にまず15日に書いたタレコミ文を掲載し、次のエントリで18日のJamie McCarthy氏の報告文について紹介する。

9月15日にタレ込んだ文章：

スラッシュドットのユーザページにある「パスワード」というリンクの先には、

このリンクをクリックすると，自動的にログインすることができます．クリックした先のページをブックマークしてください．全く安全ではないですが，とても便利です．

というリンクがある。 そのURLにはユーザ名とパスワード（のMD5値）が含まれているので、アクセスするだけでログインできるわけだが、このURLがRefererによって漏れているという指摘が11日にBUGTRAQに投稿された。これに対して、slashcodeのメンテナの一人であるJamie McCarthy氏は、「『This is totally insecure, but very convenient（全く安全ではないですが，とても便利です）』ときちんと警告している」と弁明した。 すると報告者は、「なぜ安全でないのかが説明されていない。多くの人達が、ブックマークにパスワードを持つことが問題とされているのだと思い込んでいるかもしれず、これを外部に送出していることに気付いていない」 と指摘した。

私のサーバのアクセスログを「grep slashdot | grep passwd」してみたところ、ユーザ名とパスワードを含むRefererが1件見つかった。私のサーバへのリンクのあるタレコミが掲載されたトップページで、その人物がそのリンクを辿ったときに記録されたものだと思われる。
現在では、ブックマークのURLにアクセスすると自動的に問題のないURLにリダイレクトされるようになっており、もう秘密のURLが漏れることはないようだ。これは対策されたということなのだろうか。 しかし、既に漏れてしまったパスワードは取り返しがつかない。過去にこのブックマーク機能を使用していた方はパスワードを変更した方がよいだろう。