アカウント名:
パスワード:
http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi [rakuten.co.jp]... URLにセッション追跡や認証のための情報を埋め込む手法については、ずっと前から「Refererから漏洩する」という危険性が指摘されてきました。逆に、「ユーザが自分で積極的にリンクする」なんてことはあまりないだろうと思っていましたが……ソーシャルブックマークの普及によって気軽にリンクができるようになり、ユーザが自分でリンクしてしまう可能性も増しているわけですね。
http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi [rakuten.co.jp]...
URLにセッション追跡や認証のための情報を埋め込む手法については、ずっと前から「Refererから漏洩する」という危険性が指摘されてきました。逆に、「ユーザが自分で積極的にリンクする」なんてことはあまりないだろうと思っていましたが……ソーシャルブックマークの普及によって気軽にリンクができるようになり、ユーザが自分でリンクしてしまう可能性も増しているわけですね。
この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。
Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。
4文字は何でしょうね。鍵でしょうか。どうせろくでもない独自暗号ではないかと思われます。もし暗号アルゴリズムがバレていたら、どんなことになっていたか……
……メールアドレスからどのユーザの情報でも引き出せていたと考えられます。Googleにキャッシュされてないものも全部。
楽天はそういうことが起きてなかったか確認する義務があるんじゃないですかね。
>4文字は何でしょうね
「楽天」をダブルバイトでと推理してみる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
もっと怖い話 (スコア:5, 興味深い)
この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。
Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。
4文字は何でしょうね。鍵でしょうか。どうせろくでもない独自暗号ではないかと思われます。もし暗号アルゴリズムがバレていたら、どんなことになっていたか……
……メールアドレスからどのユーザの情報でも引き出せていたと考えられます。Googleにキャッシュされてないものも全部。
楽天はそういうことが起きてなかったか確認する義務があるんじゃないですかね。
Re:もっと怖い話 (スコア:4, おもしろおかしい)
>4文字は何でしょうね
「楽天」をダブルバイトでと推理してみる。
Re:もっと怖い話 (スコア:2, おもしろおかしい)
#そんな昔に戻りたい。
Re:もっと怖い話 (スコア:1)
単にキーの重複を防ぐ為のものでは?
元の暗号化も単なるハッシュを変換しただけどか
Re: (スコア:0)
その暗号文のHMAC 4byteをくっつけて改ざん防止 。
というところではないでしょうか。
Re: (スコア:0)
携帯サイトなら、しかたがない部分もありますが。。。
社会的にどーのこーの以前に、日本を代表する(知名度的な意味で)IT企業の技術力の低さに腹が立ちます。
# また、「楽天のせいじゃありません」っていうんだろうなぁ。^^;