耳が痛い、物理的に、おいちゃんだが。

ちょっと最近立て込んでいて、Blogあんまりかいてなくてすまんね、反省してる。
今もとても眠たいのだけれども、メモしておきたいので簡潔に。


2ちゃんねるで、xss脆弱性を利用して、Beの認証コード（つまるところとパスワード）と登録したメールアドレスが漏れるという祭りがあったらしい。

【速報】 俺、2chにBeのメアドと認証コードが漏れるXSS脆弱性を発見

Beの認証コードがもれると、その認証コードを利用して各アカウントのポイントやモリタボ（ポイントのようなもの）の管理ができる。
で、そのポイントを他人の（つまり自分の）アカウントに送ることができる。
ちなみに、ポイントは現金で購入することができる。


最悪だ。
唯一ましだったのは、こっそり張られるわけではなくて、大々的に公開されたことだな。
このトラップに引っかかったアカウントは、片っ端から焼かれて（アカウント停止のこと）いったらしいし。


で、この根本的な問題はどこかというと、xss脆弱性を許してしまうのもいけないのだが、パスワードをクッキーに入れて使いまわすという仕様だろう。

いまどき、初めてCGI作ったやつだって、もっと考えて作るよ。


じゃぁ、暗号化しておけばいいのかというと、そういう問題でもない。
パスワードは、一度預かったら、絶対に外に出してはいけない。
クッキーに食わすのは、セッションキーだけ、しかもアドレスとひもつけるか、もしくは何らかの方法で動的生成した時限式のやつじゃないといけないよ。


本来なら、セッション用のクッキーと、認証済み用のクッキーは別に用意して起きたいところだけれども…


もう寝る、おやすみ。