Googleなど大手サイトのcookie転送に問題発覚、認証かわされる恐れ
Google、Microsoft、Yahoo!などの大手サイトに脆弱性が発覚。「サービスとしてのソフトウェア」を提供しているサイトは特に危険だという。
Google、Microsoft、Yahoo!など大手各社のWebサイトに、ユーザー認証をかわされてしまう脆弱性があることが分かり、US-CERTがアドバイザリーを公開した。
それによると、cookieを使って認証を行っているWebサービスの中には、最初にユーザーネームとパスワードを入力してログインするときには暗号化されたhttpsセッションで認証用cookieを設定していても、セッション全体が暗号化されておらず、その後そのcookieをhttpで転送しているサイトがある。
こうしたサイトでは、ネットワークパス上の攻撃者がcookieを含んだトラフィックを傍受して、正規ユーザーを装うことができてしまう可能性がある。
ログイン時にhttpsを利用し、その後cookieをhttpで転送しているサイトでは、ログインページのセキュリティがセッション全体に適用されるとユーザーが考えてしまうため、危険が大きい。特に「サービスとしてのソフトウェア」を提供しているサイトは、この種の脆弱性の影響を受けやすいという。
US-CERTのアドバイザリーでは、この脆弱性の影響を受けるベンダーとしてGoogle、Microsoft、Yahoo!を挙げ、eBayとMySpace.comは不明となっている。
ユーザー側の回避策としては、ユーザーネームとパスワードを入力するときだけでなく、セッション全体でhttpsを使っているWebサイトを利用することなどを推奨している。
関連記事
- 「あなたのプライバシーは守られます」、GoogleがYouTubeでプライバシーポリシー解説
GoogleはユーザーのCookieやIPアドレスといった情報を収集しているが、個人が特定されることはないと強調する。 - IMワームが偽のGoogleページ利用、アドオンが実はマルウェア
- MSがプライバシー対策強化。検索データは「18カ月で匿名化」
- Yahoo!とMSN、検索結果の危険度増大――米McAfee調査
- 求人サイトにトロイの木馬、個人情報盗む
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.