VTuberファンコミュニティサイトMeChuで個人情報流出、パスワードはBase64で「暗号化」? 67
ストーリー by hylom
定番のエンコード方式ですね 部門より
定番のエンコード方式ですね 部門より
Anonymous Coward曰く、
4月にスタートした、株式会社ZIGが運営するVTuberファンコミュニティサイト「MeChu」で利用者のユーザー名およびメールアドレス、パスワードが漏洩する事件が発生した(ニュースリリース、Twitterでの告知、ZIPによる「お詫びとご報告」1、「お詫びとご報告」2)。
管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもので、パスワードはエンコードされていたものの容易に復号できたという。記事内で使用しているツールから、Base64でエンコードされていただけのものと見られている。
ZIPによる「お詫びとご報告」 (スコア:1)
日テレも噛んでるんやろか
Re: (スコア:0)
複数ファイルをダウンロードすると、ZIP でアーカイブされるんですよ。たぶん。
Re: (スコア:0)
そのうえ、日本語ファイル名を使うと、文字化けが起きることがあるらしい
Re: (スコア:0)
hylom方式を使用した不可逆暗号化です。
Re: (スコア:0)
そうやで
そのうち電子化されているだけで (スコア:0)
「暗号化」とか言い出しそうw
Re: (スコア:0)
電子化も必要ないと思う。
例えば縦読みだって、縦読みというキーを共有した人々だけで情報を共有する一種の暗号だよね。
Re: (スコア:0)
縦読みは本当に暗号なんだから、元コメの意見とはズレてる。
Re: (スコア:0)
base64だってビット置換暗号だろうに。
Re: (スコア:0)
その文がbase64と知られていない前提ならば
シーザー暗号の変種と言えなくもないかもしらんが、
「base64」自体はどう転んでも符号化であって暗号の要素なんか無いだろ
仕様自体を鍵だと言い張るつまらん言葉遊びのつもりだったか
Re:そのうち電子化されているだけで (スコア:1)
お前が「平文」と言った時点で、その文脈は暗号処理に限定されてんだよ。
お前がbase64の元データを「平文」と呼んでること自体が間違ってんだよ。
変換仕様だけを知っていても復号できない『鍵』を持つものが暗号なのに
base64の仕様のどこに『鍵』があるのか答えてみろよ。
元コメも理解できずに煽ったって、お前の屁理屈はこれ以上わかりやすくはなんないぞ。
Re: (スコア:0)
Shift-JIS → Unicode を暗号化って言ってるようなもの
そんな詭弁が通ると思うならどうぞ
Re: (スコア:0)
base64は暗号ではないよ。暗号化を意図して作られたモノではないから。
結果が暗号化に見えるというのは、単に知らないだけです。
Re: (スコア:0)
平文じゃないよ、シフト量ゼロのシーザー暗号だよ
Re: (スコア:0)
例えばコードトーカーの話す暗号文は実質的には単なる平文だったんだが
まぁ実際に換字式暗号も併用してたらしいが、いずれにせよ世の中には暗号文と平文しかないはずなのに、その両者の領域が重なるどちらとも言える文があるのは何でだ?
シンプルな定義で満足してるから理解が浅い
Re: (スコア:0)
base64が暗号かどうかなんてどうでもいいけど、
変換仕様だけを知っていても復号できない『鍵』を持つものが暗号なのに
んなことはない。単純な換字式暗号は「文字の置き換え表=変換仕様=暗号鍵」だよ。
だから6ビット数値を文字に置き換える対応表はbase64の暗号鍵と言えると思うよ。
Re: (スコア:0)
話の内容はともかく主語やら目的語がやたら大きいのはアホっぽいからやめとけ
Re: (スコア:0)
unicodeのことを意識せずに読める環境であれば暗号化したとはいえないが、たとえば紙に16進数で書くと立派な暗号だ
おまえらbase64のことを意識してるだろ?
base64を知らない非it技術者が、base64のことを知らないままでは読めないだろ?
立派な暗号なんだよ
お前らが理解していないのは暗号というよりも平文のようだ
平文というのはそのへんの人を適当に連れてきて読ませても、正しい本当の意味を理解できるような文のことだ
スラド民はこういう、他人の立場にたってものを考えることが本当にできないんだな
で、平文でないものはみんな暗号文です
もしそうでないなら、平文でも暗号文でもないものが存在することになるが、学問の世界ではそんないい加減な話は許されない
Re: (スコア:0)
> base64は暗号ではないよ。暗号化を意図して作られたモノではないから。
その妙ちきりんな理屈で話をすすめたとしても、件のケースも暗号化を意図してBase64使ったのだから暗号化ですってことになるんじゃないのか?
# 自分で書いてて矛盾に気付いてないのか、何なのか、、
Re: (スコア:0)
暗号化を話題にする際の平文とは Plaintext の事であって、暗号化アルゴリズムに放り込む暗号化処理前の文でしかなく、そのへんの人が読めるかどうかは関係ねぇんだよ
人が読める文章は学問の世界では Cleartext と言って、特に暗号化の世界では Plaintext として使うべきではない用法だとRFCではっきり定義されてるの
https://www.ipa.go.jp/security/rfc/RFC2828-03CJA.html#cleartext [ipa.go.jp]
(D) インターネット標準文書は、この用語を、"plaintext"(暗号化作業への入力)の同義語と
Re: (スコア:0)
>・・・何か文献でもある?
それはひょっとしてギャグで言っているのか(AA略
Re: (スコア:0)
なんとなくだけど、暗号化の変換方法が公開されても問題ない(キーの秘密が守られていれば複合できない)ように
設計する現代の暗号のことを言いたいのかも。
base64を暗号として利用した場合、変換方法が分かると複合できるわけだから。
それとも、変換システムを作る側の意図で暗号であるか否かが決まるとかそういう話なのかな。
暗号であるか否かは使う側が決めるものって方が感覚的にしっくりくるなぁ。
Re: (スコア:0)
もともと暗号・復号はencode/decodeの和訳で、encrypt/decryptが流行り出してから符号化とか言い出したんで、間違いとも言い切れないんじゃないかな。
Re: (スコア:0)
> ・パスワードの暗号に復号が容易な脆弱性が認められた
こんな連中を擁護すんじゃねーよ。
H.264とかも暗号だって言い張るんですか?
そもそもBASE64なんて、イマドキ使わないような技術を態々持ち出した時点で、内容は理解してるはずでしょう。
脆弱性というのは、こういう連中が間違いを間違いと認めずに、システムに絡む事自体でしょう。
Re:そのうち電子化されているだけで (スコア:2)
むっちゃ使うで…
メールに添付するたびに使うし
本文もbase64のutf8とかも多いでしょ
Re: (スコア:0)
件名はutf8に限らずascii文字以外全部符号化してますよ
Re:そのうち電子化されているだけで (スコア:1)
こんな連中を擁護すんじゃねーよ。
こういう相手によって論理を歪める発想は本当に迷惑。思考実験の余裕が無くて結論が先行してるの。
暗号化されてたってアウトなんだからそもそも擁護にもなってないし。
Re: (スコア:0)
それは違うでしょう。
言い訳なのか本気なのか知りませんが、Base64に脆弱性があったって発表してるんですよ。
開発者が異常だったんであって、Base64は何も問題が無いのは分かりますよね?
こういう自分以外に責任を負わせるスタイルは、ホント迷惑なので周りも言い訳を与えたり理解を示したりしないで欲しい。
# Base64は脆弱だから治せとかいう案件増えそう
Re: (スコア:0)
> パスワードの暗号に復号が容易な脆弱性が認められたので、
たしかにこう言われると「暗号化」しているように見えますな。。
でも普通の技術者なら「Base64」で符号化したデータを「暗号化」とは
呼ばないのでごまかしているように見えます。
ただし、これらのプレスリリースの場合、微妙ですが「脆弱性」があることは
認めてますので、どっちでもいいといえばどっちでもいいのかもしれません。
もし、民事で漏洩責任を争った場合、「暗号化してないから」という理由で敗訴して欲しいのは確か。。
Re: (スコア:0)
えーと、何を「違う」と仰っているのか指し示してもらえませんかね…
Re: (スコア:0)
そのうちって、既に言われてるんやで。
知らぬが仏。
不正アクセス行為の禁止等に関する法律 (スコア:0)
アクセス管理者による防御措置 [e-gov.go.jp]違反かな?
#ただし罰則はない
タレコミ主さんへ (スコア:0)
記事内で使用しているツールから
リンクは公式サイトのものとツールへのリンクだけで、「ツールを使用している記事」が見当たらないんだけど…
Re: (スコア:0)
この記事のことと思われます
https://note.mu/yuki_sukosuko/n/nb2673d5aa657 [note.mu]
タレこみ主です Re:タレコミ主さんへ (スコア:1)
はい、その記事です。
タレこみ時のURL欄に貼ったんですけどね…
「本件を報告した人の記事」とかにして本文内にも貼っておけばよかったかも。
# 別のストーリーでもリンク無しになってたやつあったしあそこはアテにならないのか
Re:タレこみ主です Re:タレコミ主さんへ (スコア:1)
一番あてにならないのはhylomさんだよ説
編集者がうまいこと処理してくれるとあてにせず、タレコミ文のコピペだけですむようにするべきだったかも。
#どこでZIPになったかが気になるところ
目的はなんだろう (スコア:0)
>管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもの
これが本当なら、なんの目的でこんな作りにしたんだろう。
「ソース画面」ってHTMLのソースって意味でいいんだよね?コメントにして画面では非表示にしてたってことなのかな。
正直目的がさっぱりわからない。忘れたユーザーに復号して教えてあげるため?それにしてもちゃんとした暗号化すればよかったのに・・・
自分はいつもハッシュ化したものをDBに保存するけど、それを表示するページは作ったことないな。
Re:目的はなんだろう (スコア:2)
人為的ミスでしょう。実際に見たとかじゃないので単なる予想ですが、
DBがやたらアクセス制限しているせいで、DBの中身を見るためにクライアントを繋げることが困難(sshでトンネル張ればできるんだけど面倒)とかで、仕方ないのでクエリの結果をソースに書き込んで、ユーザー作成時にテーブルの中身が正常に更新されることを確認してた、とか。それで戻すの忘れ、テストでもソースまで見ないし誰も気づかないままリリースされて発覚に至る、的な。そんなとこでしょう。全ユーザーのユーザー名・パスワードがが含まれたっていうのはたまたまで同じページをデバッグ的な感じで使い回していたんじゃないかな、と予想。
Re: (スコア:0)
バックエンドはFirebaseやで。
なのでアクセス制限でガチガチなわけがない。
Re: (スコア:0)
タレコミ人(#3635021) [srad.jp]が貼ってたのに消されたリンク [note.mu]の内容からすると、
漏れるユーザはアクセスしたページに関連するユーザで、
予測可能なURLだった管理画面からは全ユーザの情報が漏れていたっぽい。
ページ内スクリプトで必要なデータをページアクセスのリクエスト時にクエリして、
結果を埋め込んでたんじゃ無いですかね。
で、アクセス先ページで必要なユーザだけをユーザ情報テーブルから抽出するクエリは書いたけど、
取得するカラム無制限にしてたとかでメールアドレスからパスまで全部ダンプされたと。
Re: (スコア:0)
それにしてもちゃんとした暗号化すればよかったのに・・・
「暗号化したパスワード」をブラウザ側で復号可能であれば、暗号化したところで「ちょっと手間が増えるだけ」程度にしかならない。
サーバから復号鍵を受け取るようにすればソースを見ただけでは復号できなくはなるけど、そんなことするならブラウザ側でハッシュと照合するようにした方が楽。
というわけで暗号化したパスワードをブラウザに送るのも無意味な気がするなぁ
Re: (スコア:0)
CGIの類を設置するときに必ず毎回やる(おいこら)、スクリプトとして実行する設定がどこか抜けてて、アクセスするとソースコードが丸見えになるバグとかは? そして、password.jsonとかpassword.phpとかで保存していて、index.cgiかindex.phpから読み込む設定だったのが、それらのファイルも丸見えだったとか。
なんだかよく分からないままbase64使っちゃうような技術レベルの方々が何かやらかしてそれを自分たちなりの言葉で説明したこと、をきちんと読み解くのはほんとむつかしいな。先生なんぞやってると、そんな質問だらけだけど。
Re: (スコア:0)
たぶん、暗号化何にするか未決定なのでとりあえずbase64で仮実装→直されずそのまま
こんな感じじゃないかな?
#生テキストじゃなきゃ良いと思ってるのが役職に多い
Re: (スコア:0)
元記事のSS画像を見るとJSON形式っぽいので、そのデータを使って何らかのユーザ管理の処理をする仕様だった気がする。
本来は管理画面に入るためにBasic認証とかをかけとかなきゃいけないのに、それが抜けてて丸見えになってたという稀によくあるパターンじゃないかと。
ここまでへっぽこな仕様で情報流出をしてると、何をやらかしても不思議ではないから困る。
Virtualファミコンに空目 (スコア:0)
あれはバーチャルボーイか。
お前は俺じゃなかったか (スコア:1)
VTuberファミコンミニサイトに見えて
「ファミコンミニ発売で盛り上がってるコミュニティかなー?プレイ実況系?」
と妄想しましたがそんなことはなかったぜ・・・・
ψアレゲな事を真面目にやることこそアレゲだと思う。
三ヶ月でエンジニア (スコア:0)
みたいなのが作ったんでしょ
動けばいいとしか考えてない発注側も同罪や
ところで (スコア:0)
スマホ版スラド [m.srad.jp]のHOMEのトピック一覧にこのトピックが表示されてないみたいだけどバグ?
Re: (スコア:0)
モバイル版は記事一覧をさかのぼっていくと
古い記事が表示されるはずの場所にトップページ掲載レベルの新しい記事が表示されたりもするよ
(同じ記事が重複表示され、そのぶん古い記事が表示されない)
sradがスラドになったあたりからずーっとそうよ
Re: (スコア:0)
sradがスラドになったあたり
いつ頃ですかね