cypher256's blog

Pleiades とか作った

Yahoo、mixi、google、facebook、Twitter にセキュリティホール

cypher2562010-10-26

アカウントを乗っ取る Firefox アドオン

 セッションハイジャックできるツールです。セキュリティ専門家からは数年前から、危険性が指摘されており、今まで多くの IT 技術者は、危ないと認識していながらも、放置してきた問題ですが、とうとう簡単ツールが公開されてしまいました。

 脆弱性を暴くべくFiresheepと名付けたFirefoxアドオン(エクステンション)を開発 〜 仕組みはこうだ。安全性の低いサイトは、ユーザーをクッキー(正式にはセッションと呼ばれる)で識別している。クッキーにはそのウェブサイトがユーザーを識別する情報が含まれている。Firesheepはクッキーを抽出し、これを使って本来のユーザーになりすます。

W-iFiでログイン情報を盗み取れるFirefoxアドオンFiresheep | TechCrunch Japan

 「安全性の低いサイトはユーザーをクッキーで識別」
 いや、なんだこれ全然ちがw 問題は、非 SSL と暗号化されていないオープン WiFi にあります。


Google も傍受していた...

 Street View撮影用車両がWi-Fi通信データを収集していたことが、各国政府の調査や訴訟問題に発展 〜 Google社は「オープンアクセスが可能な状態(すなわち、暗号化によって保護されておらず、誰もが自分のデバイスを介してアクセスできる状態)に設定されているネットワークからペイロードデータを収集することは、米国の法律に抵触するものではないと当社は判断している 〜

http://wiredvision.jp/news/201006/2010062423.html

 悪意うんぬんではなく、情報収集のため、普通に傍受している企業なども結構いると考えるのが妥当です。


どうすれば

 ユーザーはせめてオープン Wifi ではアクセスしない。サイトが SSL を提供していれば、意識して https アクセスしたり、Force-TSL という Firefox アドオンがありますが、不確実です。

 ログイン可能な Web サイトを提供している企業は、SSL のみにする。mixi のようにログイン時だけ SSL というようなシステムも多いですが、それではこの問題は解消できません。

 企業がセキュリティホールになると分かっていても、非 SSL を使ってしまっているのは https は http と比較して、速度が遅い -> サーバーに負荷がかかる -> ユーザーが逃げる & 利益が減る などがあります。