mala

概要

http://co3k.org/blog/csrf-token-should-not-be-session-id について。

この記事では触れられていませんが、

• むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました
• 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されていた。
• とても影響のある人だったので、色々なサイトや書籍がその方法を紹介し、安全なウェブサイトの作り方にも載ってしまいました

この際ハッキリ言っておくべきだと思うので書きますが、そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした。最初から間違っていたのです。正確に言うとCSRFの話は関係ないですね。CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。

mala

2014-07-09 それぞれ修正されたのを確認したので追記します。

APSB14-17 で修正されたようです

• http://helpx.adobe.com/security/products/flash-player/apsb14-17.html
• 14.0.0.145 または 13.0.0.231 以上であれば修正されています
• Safari + Flash Player 14.0.0.125 / 13.0.0.223 では sendToURLを使ってcross originでのカスタムヘッダ付与が出来るのを確認しています

筆者が把握している範囲で、最新版のFlash Playerを利用している場合に、(crossdomain.xmlもしくはユーザーの許可なしで)cross originでカスタムヘッダを付与する方法はありません。

Webサイト運営者は

mala

@ITやテッククランチがアホすぎてつらい。

• http://www.atmarkit.co.jp/ait/articles/1302/15/news090.html
• http://jp.techcrunch.com/archives/20130214heroku-admits-to-performance-degradation-over-the-past-3-years-after-criticism-from-rap-genius/

要約

Rap GeniusというサービスがHerokuに月額2万ドル払っていて、そのサービスに満足していたという。 内訳はよくわからないが、Herokuの「サクセスストーリー」に公開されているところによると、彼らはWeb用のdynoを120使っているとのこと。 http://success.heroku.com/rapgenius

New Relic(サードパーティのパフォーマンス計測アドオン)には年間 $63116.13 払っているという。

mala

http://security.slashdot.jp/story/13/02/24/0858210/

Firefox 22のCookieに関するポリシー変更(予定)で具体的にどういう悪影響が懸念されるのかについて書きます。

この変更は「サードパーティCookieをデフォルトでブロック」と言われて想像するものと少し違います。

正確には既にCookieが保存されているドメインであれば3rd party cookieの読み書きを緩和して、新規での3rd party cookieの保存をブロックするというものです。Safariの現行のポリシーとほぼ同じものです。

• 自分は直接的な不利益を受ける立場ではない。
• 自分の所属している企業のWebサイトの多くは広告収益に依存しているが、この変更があっても「巨大な」インパクトは恐らくない。

mala

検証環境 Firefox19.0 / Chrome 27.0.1425.0 / Safari 6.0.2

攻撃サイトとして報告されているURLを(hosts書き換えて) 読み込むとどう反応するか。それぞれアドレスバーに直接入力だとブロック。

Chromeの場合

• 画像: リクエスト自体行わない、派手な警告を出す
• script: リクエスト自体行わない、派手な警告を出す
• iframe: リクエスト自体行わない、派手な警告を出す

Firefoxの場合

mala

Evernoteの話ですけど。「強固なパスワード暗号化技術を採用」していて、攻撃者がまず生パスワード復元できないだろう、という状況であっても、パスワードリセットはしたほうがいい。

2011年のLastpassのケースでは、強固なパスワード使っている人は大丈夫だけど、そうじゃない場合はブルートフォースでマスターパスワード取得されうるということを発表していた。これはハッシュ値生成のアルゴリズムが、既知 or 推測しやすい or ソースコードも含めて漏洩している、という時にこの状態になる。

• http://blog.lastpass.com/2011/05/lastpass-security-notification.html

"If you have a strong, non-dictionary based password or pass phrase, this shouldn't impact you - the potential threat here is brute forcing your master password using dictionary words, then going to LastPass with that password to get your data. Unfortunately not everyone picks a master password that's immune to brute forcing."

で、Evernoteのケースは「弊社は強固なパスワード暗号化技術を採用しておりますが」と言っている。

mala

CVE-2018-0691 プラスメッセージにおける証明書検証不備について

• https://jvn.jp/jp/JVN37288228/

• 平日の業務時間内に見つけた問題である関係で(自分ルールで)所属を入れていますが、他社サービスに対する調査や報告は業務とは一切関係のない個人の活動として行っています。

• 文責はmala個人にあります。お問い合わせなどありましたら個人宛にどうぞ。TwitterのDMや任意の文字列 @ma.la

概要

mala

平文でパスワード保存されていた？と推測する奴は頭がおかしいのでエンジニアやめろ。

----

まず事実関係

MUFGは、ID登録及び、ログインの際に、パスワード規定文字数を超えて「入力することができませんでした」と主張している。
http://www.cr.mufg.jp/corporate/info/pdf/2012/121120_01.pdf

リニューアル前の直近のログインフォームでは、password入力のinput要素に各提携先に応じたmaxlengthが設定されていて、

mala

#!/usr/local/bin/perl

# DoS tool for memcached
# ulimit -n 15000; perl memcachedos.pl 127.0.0.1 11211 3
# original: http://gist.github.com/522741
# This is Public Domain Software

use strict;
use warnings;
use AnyEvent;

mala

もう5年も前の話になっていたのだけど、Echofon(Twitterクライアントの一つ)の件を今更だけど書かねばならない。

• https://subtech.g.hatena.ne.jp/mala/20120214/1329199851
• https://subtech.g.hatena.ne.jp/mala/20120305/1330961228
• https://twitter.com/bulkneets/status/176658152882831360

当時、Echofonのプッシュ通知を管理するサーバーの認証機能に欠陥があり(というか認証が無く) 他のEchofon利用者に対して送られるpush通知(DMやreplyなど)を横取りすることが出来た。

このセキュリティホール自体は素早く修正されたのだけど、この件をきっかけに、クライアント/サーバーの境界線が曖昧になっている、という問題を強く意識するようになった。