RC4暗号の脆弱性を使ったセッションハイジャック手法が発表される 15
ストーリー by hylom
RC4も役目を終えた感 部門より
RC4も役目を終えた感 部門より
あるAnonymous Coward 曰く、
RC4暗号の脆弱性を使い、HTTPSでのWeb閲覧時にそのCookieを解読する新たな攻撃手法が見つかったそうだ(ITmedia)。
この攻撃は、JavaScriptを使ってRC4で暗号化されたリクエストを大量に送信させるというもの。その大量の暗号化されたリクエストの中から、Cookieなどの繰り返し送信されるデータを解読するというものである。
中間者攻撃が可能な状態でCookieが漏れた場合、サーバー側のCookieの取扱いによってはセッションハイジャックが行われる可能性がある。そのため公衆無線LANサービスを使う場合にはブラウザのRC4暗号を無効にするなどの対策が望ましい(RC4を無効にする方法)。
発見者はRC4 NOMOREというサイトを立ち上げて、RC4を使わないよう注意喚起を行っている。
モダンブラウザでもRC4暗号しか使えないサイト一覧 (スコア:1)
Mozillaの収集した、モダンブラウザでもRC4暗号しか使えないサイト一覧より、jpドメインのものを抜き出して、解決済みかどうかテストしてみました。
https://bug1124039.bmoattachments.org/attachment.cgi?id=8590472 [bmoattachments.org]
access.i-revo.jp → 解決
auth.hitachi-capital.co.jp → 未解決
corp.valuegolf.co.jp → 解決 (RC4自体は有効)
help.i-revo.jp → 解決
jbpress.ismedia.jp → 未解決
member.i-revo.jp → 解決
members.jafp.or.jp → 解決 (脆弱性あり)
mp.i-revo.jp → 解決
myportal.brother.co.jp → 未解決
ogm.valuegolf.co.jp → 解決 (RC4自体は有効)
one.valuegolf.co.jp → 解決 (RC4自体は有効)
secure.nissan.co.jp → 未解決
www.a-pat.jra.go.jp → 未解決
www.jaccs.co.jp → 未解決
www.jafp.or.jp → 解決 (RC4自体は有効)
www.ukr.jp → 未解決
www.valuegolf.co.jp → 解決 (RC4自体は有効)
まだ未解決なところもありますね。早く何とかしてほしいところ。
Re: (スコア:0)
ついでに、未解決なサーバーの環境も調べてみました (Netcraftより)。
auth.hitachi-capital.co.jp → Linux / WebSEAL/7.0.0.0 Build 121024
jbpress.ismedia.jp → F5 BIG-IP / 不明
myportal.brother.co.jp → F5 BIG-IP / BigIP
secure.nissan.co.jp → Linux / IBM_HTTP_Server
www.a-pat.jra.go.jp → F5 BIG-IP / Apache
www.jaccs.co.jp → 不明
www.ukr.jp → Windows Server 2008 / 4D_WebStar_D/2004
うーん、やっぱり特殊な環境が多いですね。
IBM Tivoli Access Manager WebSEAL の概説
http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1134-01/ja_JA/HTML/... [ibm.com]
Re:モダンブラウザでもRC4暗号しか使えないサイト一覧 (スコア:1)
IBM HTTP Server は実態は Apacheだし、BIG-IPは非常によく使われていると思うけど。
なかなかアップデートできない事情があるんでしょう。
Re: (スコア:0)
なぜ動いてるか、何処に影響するか分からないので触れないんですよー
管理出来てないのかと。
Re: (スコア:0)
そのリストには含まれていないけど、
www.jpcert.or.jp → IPv6のみ未解決
なんてのがある。IPv6のサーバー立てたの忘れてて放置状態なんだろうか。
設定から弱い暗号を廃し、強い暗号を使おう! (スコア:0)
Mozilla.org 推奨 CipherSuite の書き方
https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility [mozilla.org]
Apacheもnginxも基本的にこのコピペでOK
Re:設定から弱い暗号を廃し、強い暗号を使おう! (スコア:2)
Modern_compatibility は IE 11, Android 4.4 以上でしょうか。かなり極端で限定されたユーザ(社内用とか)でないと使い物にならないのではないような。
Intermediate [mozilla.org] を使うか、シンプルに
ぐらいでは。MEDIUM 抜きのとき !RC4 は不要なように見えるが、少し前の Red Hat 推奨 [redhat.com]にはなぜかある。
Re: (スコア:0)
コピペでそのまま使うならこっちのほうが勝手が良いかと
ポチポチ押すだけで設定ファイルが作れます
Mozilla SSL Configuration Generator
https://mozilla.github.io/server-side-tls/ssl-config-generator/ [github.io]
セッションジャック (スコア:0)
なぜハイをつけるのか・・・、セッションジャックでいいじゃないか。
Re: (スコア:0)
session hijacking 由来の外来語ですから、わざわざ和製英語風にしても混乱を招くだけです
Re: (スコア:0)
ハイジャックを何だと思ってるんです?
Re: (スコア:0)
とはいえ、バスジャックとはいうよね...和製英語だそうですが。
ハイジャック
https://ja.wikipedia.org/wiki/%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%... [wikipedia.org]
ジャックだけでハイジャック(名詞ならばハイジャッキング?)の意味に使いたいという誘惑も分からなくはない。
Re: (スコア:0)
アメリカでもskyjack, seajackあたりは俗語として成立してるようだから、結局みんな考えることは同じらしい。
Re: (スコア:0)
単独のjackに強盗の意味はないけれど、接尾辞の-jackにはあるんだから、仕方がないね。ただ、highwayやseaは強盗の目的語じゃなくて、強盗の居場所を指すだけの形容詞的な名詞だから、session-jackingはやはり不自然。英語でも飛行機のハイジャックはaircraft hijackingっていうから、動詞の時はhiを省略しない。敢えて言うなら、webjackとかじゃないの?セッション「を」乗っ取るなら、session hijackingじゃないと。
Re: (スコア:0)
ケチを付ける前には1回ググる癖を付けましょう。