パスワードを忘れた? アカウント作成
33075 story
Google

GmailのセッションIDを自動的に盗むツールが登場 28

ストーリー by hayakawa
利用者の方はご注意を 部門より

あるAnonymous Coward 曰く、

米ラスベガスで開催されたハッカーカンファレンスDefconで、GmailのセッションIDを自動的に盗むツールが発表された(hungry-hackers.com本家記事)。

Gmailにアクセスする際にブラウザはクッキーを送信している。Gmail上の単なる画像にアクセスするだけでもクッキーは送られているのだが、Gmailはセッション情報をクッキーで管理しているため、悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ることが可能である。一旦セッションIDを手に入れてしまえば、パスワード無しにログインすることが可能になる。

このツールは2週間後にリリースされる予定だが、Gmailには常にhttpsを利用する設定オプションが追加されているので、特に保護されていないワイヤレスネットワークからアクセスする際などは利用したほうがよいかもしれない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2008年08月20日 14時51分 (#1406577)
    > Gmailには常にhttpsを利用する設定オプションが追加されているので、
    > 特に保護されていないワイヤレスネットワークからアクセスする際などは利用したほうがよいかもしれない。

    今回の問題の場合、途中経路が保護されている/されてないは関係ない。常にhttps経由推奨になる。

    # と思う。あってますか?>エロい人
  • by hashitom (34540) on 2008年08月20日 14時55分 (#1406582)
    "Gmailには常にhttpsを利用する設定オプション"を設定しておくと
    "悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ること"
    を回避できるように読めるのですが、この方面に聡い人なら周知の仕組みの説明が省略されているのでしょうか。

    これを設定しておけば、セッションIDが送出される際は必ず暗号化されるということなのでしょうか。

    また、保護されていないワイヤレスネットワークからの接続を行っている場合に推奨されている理由も不明です。
    ブラウザの近辺だけでIPパケットを傍受できるという話でもないようですし。
  • ぐぐったら、バイナリエディタで "http" を "https" に書き換えると良いらしい。
    http://www.google.co.jp/search?complete=1&hl=ja&q=gmail+notifier+https+%91%CE%89%9E&btnG=%8C%9F%8D%F5
  • by Anonymous Coward on 2008年08月20日 17時39分 (#1406698)
    Gmailだけにかぎらず、Yahooだろうとmixiだろうと、どんなサイトでもSSLなしで経路途中で盗聴されたらどんな情報だって抜かれるのは当然。
    なんで今回問題視されるの?

    タレ込み文をパっと読んだだけだと、他サーバーの画像へ送られたCookieやヘッダーなんかをその(呼び出し元)ページから取得できたのか、と思ってしまった。

    もし経路途中で盗聴できるなら、ほんとクッキー盗まなくてもhttpでメールにアクセスさせて内容を取得できるよね。(今回はSSLオンリーにしてればこれも防げるけど)

    Gmailの場合

    http://mail.gmail.com にアクセス (セッション開始前だからセッションIDはない)
    https にリダイレクト
    認証、セッションIDを返す
    以後、httpsだけでセッションID送信

    ってことか。

    言ってみれば、ログイン画面だけHTTPS使って通常ページはHTTPなすべてのサイトでは、セッションクッキー盗聴できますよってことでしょ。
    Gmailだけの問題じゃない。(というかGmailはほぼ解決策を提示した)

    そもそも、じゃあ、プレーンテキストで通信してるメールプロトコル(POP3)なんかだと、もうぜ~んぶ抜かれるわけですが、こちらはそんなに問題視されないのかな。まだまだPOP over SSLなんて使ってる人のほうが少ないでしょ。ここ見てる人は使ってるでしょうけど、初心者向けのISPメールなんかはだいたい通常のPOP3だ。
    • by Anonymous Coward on 2008年08月20日 18時03分 (#1406715)
      問題というか、
      gmailのセッションIDを自動的に盗むツールが2週間後にリリースされるので、
      gmailを使っている人はgoogleが先週追加した「常にSSLを使うモード」を使うようにしましょう、
      という話なのではないかと。
      親コメント
      • by Anonymous Coward
        すまん。
        gmailを使っている人はgoogleが先週追加した「常にSSLを使うモード」を使うようになってしまうので、
        2週間後にリリースされるgmailのセッションIDを自動的に盗むツールを使うようにしましょう

        と誤解した。

        #Defcon的にたしかに情報は盗んで何ぼだよなと思うが・・。
    • by Anonymous Coward
      この記事自体が素人相手に偽ニュース広めたいだけっぽい感じですね。
      どちらかというと、gmailよりはリモートの画像を勝手に読み込むようなHTMLメール等々の対応ソフトは、メールのURLにIDなんかを混ぜておくと誰がどのメールをいつ読んだのかわかるので危険なのですが、今更そんなMUAもないですよね。ないといいんだけどな。
      何も考えていない企業共がHTMLメール送ってくるので嫌になるよ。
    • by Anonymous Coward
      さいきんGoogleは旗色悪いからね。がんばって擁護しなきゃいけないよね。
  • ニコ動ですら、同一アカウントで複数PCからの同時利用できなくて
    別のPCで再認証した時点で元PCのセッション無効になるんのに、
    セッションID抜かれたくらいで、認証回避されるなんて今時ザル過ぎる、、、

    セッションIDとIPアドレスをセットで運用して、
    IP アドレス変ったら、その都度、認証やり直せと、、、

    プライベートIPとかProxy使ってると危険度増すけど、
    グローバルIPで繋いでる限りは、
    同一セグメントに攻撃者がいない限りたいして問題にならんだろ?
    --
    uxi
    • セッションIDとIPアドレスをセットで運用して、IP アドレス変ったら、その都度、認証やり直せと、、、
      それじゃ都合が悪い場合もあるんじゃないかな。例えば、Linkproof [radware.co.jp]を使ってる場合とか。
      親コメント
      • by uxi (5376) on 2008年08月20日 22時00分 (#1406856)
        安全性とのトレードオフなので
        ユーザー側で、IP変ったら再認証するかどうか、選択できれば問題ないかと。
        # DHCP による更新が早い環境もあるでしょうし
        --
        uxi
        親コメント
    • by Anonymous Coward

      セッションIDとIPアドレスをセットで運用して、 IP アドレス変ったら、その都度、認証やり直せと、、、

      無茶言うな。君、Webアプリ開発やったことないだろ。
      そんなことやったら、企業でProxy経由で使ってるユーザを見捨てることになるぞ。
      基本中の基本だぞこんなのは。

      auの糞システム [srad.jp]作ったのももしかして君みたいな連中か?

      • by uxi (5376) on 2008年08月21日 13時19分 (#1407135)
        SSL ありならそれでもいいよ。
        けど SSL なしじゃ元からセッションID丸見えなのに、IP非固定でどうやってセキュリティ保てと?
        XSS とか画像リンクとか以前の問題だぜ?

        auが糞かどうかは知らないが、仮に糞だとして、それはIPが固定できないユーザーへの配慮が抜けていた上に、オプション用意しなかったからだろ?
        セキュリティ問題で、マイノリティに合わせて、マジョリティのレベルまで落とせってどっちが糞だよ?

        そもそも企業で Proxy?
        社内には関係ないだろ?
        それとも社外の web アプリ使わす気?
        しかも http でIP非固定のセッションIDで?
        --
        uxi
        親コメント
        • by Anonymous Coward
          おまえ、やっぱりどう見られてもWeb開発未経験者。素人は黙ってろカス。
  • by Anonymous Coward on 2008年08月22日 16時34分 (#1407919)
    違ったとしてもsurfscanでも十分、というか普通のスニファだけでも十分なんだけど。

    スニファも使えない中学生でも盗めて便利、と言う話?

  • by Anonymous Coward on 2008年08月25日 16時14分 (#1409502)
    これで騒いでるたいていの人って、POPアクセスの際にパスワードが平文で送られていることすら知らないのではないかと思う。 POP over SSLとかAPOPとかあんまり使われていないようですし。
typodupeerror

人生unstable -- あるハッカー

読み込み中...