JVNDB-2007-001187
|
web サービスにおいて認証情報が暗号化されずに通信される問題
|
|
cookie などを用いたユーザ認証を行なう web サービスにおいて、認証情報を暗号化せずに通信するケースが報告されています。結果として、第三者がユーザに成りすまして web サービスを利用する可能性があります。
cookie などを用いたユーザ認証を行なう web サービスにおいて、認証情報を暗号化せずに通信するケースが報告されています。信頼できない通信路(例: 暗号化が行なわれていない無線LANなどの経路)を使ってこれらのサービスにアクセスした場合、第三者に認証情報を読み取られ、ユーザに成りすましてサービスを利用される可能性があります。
とくに、セッション開始時にのみ認証情報を暗号化して送っていてもその後の通信が暗号化されていなければ、認証情報を読み取られる危険があります。
また、このような盗聴とセッションハイジャックを行なうためのツールが一般に公開されています。
|
|
|
|
|
(複数のベンダ)
|
cookie などを使ったユーザ認証を行なっているサイト
|
|
遠隔の第三者が、問題のある web サービスを使っているユーザの通信を盗聴することによって認証情報を得て、当該ユーザに成りすまして web サービスを利用する可能性があります。
|
|
[web サービス利用者がとるべき対策]
暗号化されていない無線LANなどのように第三者が盗聴している可能性のある通信路を使っている場合には web サービスを利用しない。また、web サービスの利用時間は最小限とし、作業が終わったらきちんとログアウトする。
[web サービス提供者がとるべき対策]
認証情報は暗号化して送られるようにサービスを実装する。
|
|
|
|
|
|
|
|
- JVN : JVNVU#466433
- US-CERT Vulnerability Note : VU#466433
- IETF : rfc2109
|
|
|
