ITmediaの記事によると、Google、Microsoft、Yahoo!など大手各社のWebサイトに ユーザー認証をかわされてしまう脆弱性があることが発覚、US-CERTがアドバイザリーを公開したとのこと。
それによれば、cookieを使って認証を行っているWebサービスの中には、最初にユーザーネームとパスワードを入力してログインするときには暗号化されたhttpsセッションで認証用cookieを設定していても、セッション全体が暗号化されておらず、その後そのcookieをhttpで転送しているサイトがあるとのこと。こうしたサイトでは、ネットワークパス上の攻撃者がcookieを含んだトラフィックを傍受して、正規ユーザーを装うことができてしまう可能性があるという。
US-CERTのアドバイザリーでは、この脆弱性の影響を受けるベンダーとしてGoogle、Microsoft、Yahoo!を挙げ、eBayとMySpace.comは不明となっているとのこと。ユーザーとしての対策方法は、ユーザーネームとパスワードを入力するときだけでなく、セッション全体でhttpsを使っているWebサイトを利用することだという。
記事: ITmedia エンタープライズ:Googleなど大手サイトのcookie転送に問題発覚、認証かわされる恐れ
よく考えてみると、非常に身近で危険の大きい問題です。私の場合、当サイト更新の際はGoogleアカウントのhttpsでログインし、Cookie転送でBloggerにログインしています。つまりはこの転送機能に問題があるということで、最悪の場合このサイトがのっとられてしまうこともあるわけです。
Googleの場合、複数のサービスを「Googleアカウント」で一括管理しているわけですが、cookieの転送機能の被害に遭わないための対策として、"各サービスのログインページを使う"ということが挙げられるのではないでしょうか。つまり、Bloggerを使うときはBloggerのログインページへ、Youtubeを使うときはYoutubeのログインページへ行って"直接認証をすれば良い"ということです。実のところ面倒くさいのですが、安全に使うためには仕方がないです。各大手サイトの早急な対応を望みます。
関連情報
US-CERT アドバイザリー - US-CERTホームページ(英語)
Yahoo!とMSN、検索結果の危険度増大――米McAfee調査(ITmedia)
メッセンジャー経由で感染、偽Googleページを利用してマルウェア配布
0 件のコメント:
コメントを投稿