パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ソフトバンク携帯の https 接続の仕様変更は致命的脆弱性の解消のため」記事へのコメント

  • SoftBankなどで公式の課金や認証を運営しているサイトはこちらのアドレスを経由するようになっているわけで
    いきなり廃止というわけにはいかない事情もあったと思います。
    私が関わった部分だけでもサイトの改修だけでなく紐付けられているDBとの内容(アドレスがかわることで取得できるIDやなんかがかわったりとか)とか、
    経路を構築している場合はネットワークの改修も必要になったりかなり多岐に渡ります。
    比較的新しいものであればいいのですが、老舗のサイトとかになると一から作り直したほうが早いくらいというところもあったりもしました。

    実際問題として諸事情によりこの改修に対応出来ないサイトもあり、申請をすれば継続して従来の方式を取ることも出来たと思います。

    一度定着してしまったものを改修するとなるとそれなりのスパンが必要になるのは致し方ないことかと思います。

    • Re: (スコア:3, すばらしい洞察)

      by Anonymous Coward

      >SoftBankなどで公式の課金や認証を運営しているサイトはこちらのアドレスを経由するようになっているわけで
      >いきなり廃止というわけにはいかない事情もあったと思います。

      今回の場合、課金・決済において致命的な問題であったうえ、
      利用者への案内なども非常に少ない(ゼロ?)ものでした。
      利用者は自衛手段を取る権利も自己チェックを行う権利も与えられなかったわけです。
      それを「いきなり廃止というわけにはいかない事情も」で擁護するのは厳しいでしょう。

      少なくとも、ソフトバンクの公式発表として
      「詳しくは公開できないが、現時点でソフトバンクの回線には脆弱

      • by Anonymous Coward on 2011年07月05日 20時04分 (#1982340)

        CP向けの情報なので公にはできないのでここでいうことはできないのですが・・・。
        確かにキャリアの事情を考慮する必要はないですが、httpsを使わないようにするというのは認証の関連からそれはありえないです。

        この場合の防御策としてSoftBankのhttpsを使用しないようにするということであれば、既存のIDやアカウント情報や課金情報を全て使えない状態になることが考えられます。
        キャリアの事情を察する必要はありませんが、コンテンツプロバイダー側としてはこれらを含めてすぐに変更というのは厳しいのはお分かりいただけるのではないかと思います。
        利用者への告知にしても、利用者側では「使用しない」という方法しかとれません。
        あくまでキャリア側が対応した上で、さらにコンテンツプロバイダーが対応しないと意味がありません。

        改修になぜ1年かかったのかは知る立場にありませんしSoftBankを擁護する気もありませんが、キャリア側だけでなくコンテンツプロバイダー側も含めた構成になっているのでキャリアの事情だけで片付けるのはどうかなと。

        #リスクを管理する上で実際にこれでどういった被害が発生したのかも公表してほしいところです

        親コメント
        • by Anonymous Coward on 2011年07月06日 5時36分 (#1982483)

          >どうせどんな対策取ったって文句はいうんでしょ?

          不備の責任がある主体にはクレームが入ります。
          それは当たり前でクレーム自体ゼロを前提にするなんてほうが異常です。
          その上で、不備への対応のやり方でクレームの度合いは大きく変わりますよね。
          今回の件は最悪の一つでしょう。

          >確かにキャリアの事情を考慮する必要はないですが、httpsを使わないようにするというのは
          >認証の関連からそれはありえないです。
          >
          >この場合の防御策としてSoftBankのhttpsを使用しないようにするということであれば、
          >既存のIDやアカウント情報や課金情報を全て使えない状態になることが考えられます。
          >
          >改修になぜ1年かかったのかは知る立場にありませんしSoftBankを擁護する気もありませんが、
          >キャリア側だけでなくコンテンツプロバイダー側も含めた構成になっているので
          >キャリアの事情だけで片付けるのはどうかなと。

          前述の通り、自分は
          「SB回線においてhttps通信を行うこと自体がリスクの高いものです、信頼性が破綻しています」
          とソフトバンクが宣言したって良かったとは言っていますが、
          だからといって
          「即https通信を禁止して一切動作しなくすれば良かった」とは言っていません。

          上記のような状態でもhttps通信を使わざるを得ない人、使いたい人は使えば良かったでしょうし、
          その自由は利用者に与えられても問題ないでしょう。

          もし、それで利用者が「不安だ。SB回線でhttpsは通信しないでおこう」と判断し、
          CPの売り上げが落ちてしまったり、ソフトバンクから流出したりした分の負債は
          ソフトバンクが素直に負えばいいだけです。
          システムの管理主体はソフトバンクですから当然ですね。

          そこで、ソフトバンクの都合で1年も問題を隠し、
          利用者に自己防衛・自己チェックの機会すら与えなかったという事実は変わるものではありません。
          たとえCPの立場を鑑みても擁護のしようもないものです。

          親コメント
          • by Anonymous Coward

            ところで、Softbankのデコードしたサーバーから、自前のコンテンツを置いているサーバーは、専用線ではなく、INTERNET接続だって前提は、本当なのでしょうか。

            文句言っている人は確信があるみたいな書き方だけど、専用線で他から見られないなら、httpsをデコードしても何の問題もないはずですよね?

            • by Anonymous Coward
              専用線だったらいわゆる“勝手サイト”に接続できないのでは?
            • by Anonymous Coward

              >ところで、Softbankのデコードしたサーバーから、自前のコンテンツを置いているサーバーは、
              >専用線ではなく、INTERNET接続だって前提は、本当なのでしょうか。
              >
              >文句言っている人は確信があるみたいな書き方だけど、
              >専用線で他から見られないなら、httpsをデコードしても何の問題もないはずですよね?

              せめてタレコミ文にもある高木氏のサイトくらいは全部読みましょう。
              専用線ではありません。
              だから高木氏も自分の環境でhttps鯖を立てgmailを対象に実験をして(できて)います。

            • by Anonymous Coward

              専用線で他から見られないなら、httpsをデコードしても何の問題もないはずですよね?

              何の脆弱性だったのか、まるで理解してないのでは?

              • by Anonymous Coward
                偉い人()にはわからんのですよ。

日々是ハック也 -- あるハードコアバイナリアン

処理中...