ニュース
» 2007年09月10日 08時30分 UPDATE

Googleなど大手サイトのcookie転送に問題発覚、認証かわされる恐れ

Google、Microsoft、Yahoo!などの大手サイトに脆弱性が発覚。「サービスとしてのソフトウェア」を提供しているサイトは特に危険だという。

[ITmedia]

 Google、Microsoft、Yahoo!など大手各社のWebサイトに、ユーザー認証をかわされてしまう脆弱性があることが分かり、US-CERTがアドバイザリーを公開した。

 それによると、cookieを使って認証を行っているWebサービスの中には、最初にユーザーネームとパスワードを入力してログインするときには暗号化されたhttpsセッションで認証用cookieを設定していても、セッション全体が暗号化されておらず、その後そのcookieをhttpで転送しているサイトがある。

 こうしたサイトでは、ネットワークパス上の攻撃者がcookieを含んだトラフィックを傍受して、正規ユーザーを装うことができてしまう可能性がある。

 ログイン時にhttpsを利用し、その後cookieをhttpで転送しているサイトでは、ログインページのセキュリティがセッション全体に適用されるとユーザーが考えてしまうため、危険が大きい。特に「サービスとしてのソフトウェア」を提供しているサイトは、この種の脆弱性の影響を受けやすいという。

 US-CERTのアドバイザリーでは、この脆弱性の影響を受けるベンダーとしてGoogle、Microsoft、Yahoo!を挙げ、eBayとMySpace.comは不明となっている。

 ユーザー側の回避策としては、ユーザーネームとパスワードを入力するときだけでなく、セッション全体でhttpsを使っているWebサイトを利用することなどを推奨している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ