昨日書いたWebフォーラムの話し。眠気にかまけて理解が不十分だったようで、よ〜く読み進めると問題はクロスサイトスクリプティング(XSS)だけでなく(XSSも全てのページが対処されたわけでは無いらしいが…)セキュリティホールはまだあると言わざるを得ない状況だ。
で何がセキュリティホールか?というと、「nifty.com 配下のどこでもセッション Cookie が読める」という問題。「domain=.nifty.com」なんてレンジのCookieを発行している事から、@nifty会員ならばcgiを自由に配置できるhpcgi*.nifty.comからも簡単にCookieが読み取れるわけ。つまりアクセスカウンター等に仕込んでおけばユーザーには気付かれずに Cookie の値を盗み出すことが可能である、というわちゃ〜な大穴だ。
ここだけを取り上げると正気の沙汰とは思えない安易を通り越してずさんとも言えるやり方なのだが、サーバーを跨ったシングルサインインを実現するとなるとこれ以外には方法は無く、利便性に気を取られてCookie漏洩の危険性まで注意が及ばなかったんだろうと思われる。そういう根の深い問題なので、抜本的な対応となるとURLの変更が避けられないと思われ、かなり時間がかかりそうな気配だ。
ユーザーとしてはパスワード等を入力するメンバーズエリアにはログインしないのが一番なのだが、少なくともログアウトした後は全てのプラウザウィンドウを終了する事が必要。間違っても別のサイトへアクセスしたりしないようにご注意あそばせ。
【参照】
●えび日記
-「XSS大王・さらなるホゥル」 2003年6月23日
-「XSS大王Q&A」 2003年6月25日