スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

12月3~4日のtwitterセキュリティクラスタ

Connectfreeという公衆無線LANサービスが、TwitterIDとFacebookをMACアドレスに紐付け記録したり、Amazonのリンクにアフィリエイトを埋め込んだりしていた模様。
cetacea :connectfree 、twitterにアクセスしたらユーザーID収集してるっぽいんだけどきのせい?

cetacea :しかも amazon アクセスしたらアフィ勝手に仕込んでるぞ…

cetacea :ひどいっていうレベルじゃねーぞ…

cetacea :閲覧ページに無理矢理scriptを押し込めるので、ページ内グローバル変数はどこからでも参照可能というのを使ってえげつないことしてる

cetacea :Facebook、twitterは端末・APのMACアドレスと紐付けた上、ユーザーIDを読み取って送信。amazonはアフィリエイトID仕込んでる。 RT @HiromitsuTakagi (略)そのSRC属性に が指定されている。

HiromitsuTakagi :エー?どこ見ればいいですかー?(終電まであと20分) RT @cetacea Facebook、twitterは端末・APのMACアドレスと紐付けた上、ユーザーIDを読み取って送信。…

cetacea :@HiromitsuTakagi 挿入されるというam6.jpからのスクリプトです。twitter のtwttrオブジェクト、facebookのEnvオブジェクトから読み出した後、ajaxで に送信してます

HiromitsuTakagi :しかし、TwitterやFacebookのIDと紐付けて、どう利用するつもりなんだ。コネクトフリーの奴ら、絶対、個人的に見てニヤニヤしてるだろ。

bulkneets :@HiromitsuTakagi この仕組だとページ側に罠を仕掛けておけば訪問者の端末のMACアドレスを抜けるのでは

HiromitsuTakagi :コネクトフリーで私の日記に来た人は、MACアドレスを私に見られる(ように私が仕掛けを仕込むことができる)という意味ですね。 RT @bulkneets ページ側に罠を仕掛けておけば訪問者の端末のMACアドレスを抜けるのでは

HiromitsuTakagi :その通りです。amazon以外を含む全てで。RT @hamanako コネクトフリーを使ってインターネットに接続している間にAmazonで買い物をすると、コネクトフリーの人にtwitterとFacebookのアカウントと買い物の内容と、それを行った場所や時間まで全部送信されると…

Hotspring_r :@HiromitsuTakagi @bulkneets 実装してみた。明日にでも調べようと思っていたのですが、今可能であれば試してみていただけないでしょうか。 こちらにアクセスしてGetMacAddressをクリックで表示されるはずです。


このあとクリストファーから高木先生に生電話ということもあったのですが、全体的なことが知りたい方はまとめを読まれるといいでしょう。
Hamham_Fenrir :公衆無線LANのConnectFree、利用するとTwitter IDとFacebookをMACアドレスと紐づけられ、いつどこでどのサイトを閲覧したか収集されるらしい http://togetter.com/li/223293


SAIKYO_NEWS :公衆無線LANのConnectFree、利用するとAmazonアフィなどが勝手に組み込まれることが発覚 - ニュース速報 2ch http://goo.gl/WV5We


@yohgaki、@ockeghem両氏(後に@rryu2010氏も加わって)によるセッションアダプション問題が危険なのかという問題からphpでDBを扱うときの安全な処理についての議論が興味深かったのでまとめてみました。@yohgaki氏は指針、@ockeghem氏は現実的な話と、語っているレイヤーが微妙にずれているのでイマイチかみ合いません。どちらも間違ってないのでしょうけど。@yohgakiさんがどのように実装されるのか記事で読んでみたいですね。
yohgaki :PHPのセッションアダプション問題は深刻な問題ではない、っていう話はどこから来てるんだ?明確に危険なのだけど。知ってる人は教えてください。

ockeghem :何人もが書いていますが ではないですか?明確な危険性があれば教えて下さい RT @yohgaki: PHPのセッションアダプション問題は深刻な問題ではない、っていう話はどこから来てるんだ?明確に危険なのだけど。知ってる人は教えてください

yohgaki :@ockeghem 情報ありがとうございます。後で見てみます。ところで実装論でいうならDBが正しく処理するのが当然でしょう。もしくは古いDB2のようにエラーにするかでしょうね。

ockeghem :@yohgaki 実装論でいうならそうでしょうが、使う側はそれをあてにしてはいけない、ということだと思います。

yohgaki :@ockeghem DB本来の目的はデータを確実かつ安全に保存することです。そこが担当するのが自然でしょう。受け入れるけど、結果は保証しない、というのはDBとしては問題ありです。

ockeghem :@yohgaki いえ、ちゃんとMySQLの動作はマニュアル通りです。ISOにも違反していません

yohgaki :@ockeghem 困るからマニュアルには書いてあるでしょうね。DBの開発者としてこれを放置するのはどうかなと思いますよ。そもそも論でいうと。それからこう言ったケースに対応する為にも3つの方針が必要でIPAの文書は1つ欠けているから徳丸さん主張と矛盾した状況になっています。

ockeghem :@yohgaki 1つとは、何が欠けていますか?

yohgaki :@ockeghem 個人的にはescapeの説明も足りないと思いますが、quoteメソッドを使えば良い、という書き方になってますよね?quoteメソッドを実装するにはバリデーションが必須では?なかった様に思いますがあります?

ockeghem :@yohgaki バリデーションはいらないと思います。あくまでパラメータの場合は、ということですが。

yohgaki :@ockeghem 数値の場合はquoteメソッドでも'で囲んでエスケープしないのですよね?数値だとどうやって保証するのでしょう。

ockeghem :@yohgaki quoteの数値の動作検証については、こちらを参照下さい

yohgaki :@ockeghem URLありがとうございます。実装にばらつきがでるのはある程度仕方ないので、データを安全に保存すべきDBが保存できないのが悪い!と言って直させるのが一番手っ取り早いと思います。'数値'と数値で保存されるデータが違う、なんて状態で私が開発者ならさっさと直しますね

rryu2010 :@yohgaki データを正確に保存したいというのであれば手段は静的プレースホルダしかありません。浮動小数点数を10進文字列にした時点で誤差が出ますし、uncode文字列も正規化方式が維持されるのか謎ですから、たとえリテラルであっても正確性にはある程度の妥協があります。

yohgaki :@rryu2010 データベースでUnicodeの正規化は行うべきではないでしょう。そのまま保存すべきです。なのでおかしな文字列はクエリエラーにしてしまえば良いだけです。言語とDBでは表現可能な範囲が異なるので、変換しないでそのまま送る、が基本であるべきだと思います。

yohgaki :@ockeghem 徳丸さんの方法論に合わないアプリや環境はどうするのでしょうか?私の場合は指針なので変わった環境でも適切に処理する余地が残してあります。

yohgaki :@rryu2010 もちろん明示でなくて、暗黙で正規化するDBの事です。明示するのはアリですから。

yohgaki :もう1つ指摘させていただきます。SQL DBは元々テキストデータ(SQL文のデータ)を保存するシステムとして作られました。なのでこの部分は本質的に間違ってますよ RT @rryu2010 SQLにデータを埋め込んで送るというのは本質的に良く無いやり方

yohgaki :SQLはJavaや.NETのように縛られてる環境の人はプリペアードクエリだけ使ってればよい(ただし注意事項はあるけど)もっと自由な環境の場合は自由である反面リスクもあるので理解して正しく使えば良い、という単純な話だと思うのだけどなあ。

yohgaki :全般的なセキュリティ対策の指針を作る場合、幅広い環境・システムに対応するためには基本中の基本から対策&理解してないと何処かでおかしな事になるか行き詰まる。

yohgaki :もちろん環境・システムが限定されている場合はそれに特化したセキュリティ対策の指針を作ることが望ましい。ここがセキュリティ対策のスペシャリストの仕事だと思う。

ockeghem :@yohgaki phpMyAdminのようなものを作る場合は例外でしょうね。そういうものを開発する人は上級者であるはず(べき)ですから独自に考えてもらいましょう。私が想定しているのは一般的なWebアプリケーションです。

yohgaki :@ockeghem ターゲットを良く解ってない方にするのは構わないというか、そういう割り切りも必要です。でも割り切りし過ぎてると思いますよ、IPAの文書。LLは自由度が高いのでそれに合わせるべきかと思います。

yohgaki :@ockeghem DBがどうあるべきか、は見解が違うので時間ができたらまたブログに考えを書いておきます。

ockeghem :@yohgaki 一般性を高めると、開発者が具体的にどうすればよいかが分からなくなります。「安全なSQLの呼び出し方」は、具体的にどうすべきかを書くことを目指しましたので、その分適用範囲は少し狭くなりますね

rryu2010 :@yohgaki 「言語とDBでは表現可能な範囲が異なるので」というのはまさにその通りで、なので私はSQL文とデータを別々に扱うべきだと思っています。静的プレースホルダは異なるものを別々に扱えるようにしたものですから、変換しないでそのまま送るのに適した方法です。

rryu2010 :@yohgaki 存在するかどうかは分かりませんが、SQLの仕様として文字列リテラルも含むSQL全体を正規化して評価してはいけないという決まりが無ければ、正規化されても文句は言えない気がします。

rryu2010 :@yohgaki 当初そうだったからといってそれが本質的に良いものとは限りません。SQL絡みの問題はほぼ間違いなく値を埋め込むという処理で起こっていて、かつバインド機構を持たないライブラリはまず無いという現状からすると、良くない方法だったと言わざるを得ないのではないでしょうか。



アメリカでは大問題っぽいCarrier IQについていろいろ。
kitagawa_takuji :【レポート】米国を騒がせる「Carrier IQ」問題、多くのスマホに行動監視ツールが潜在

gizmodojapan :【最新記事】 全米大震撼中! Carrier IQとは何か? http://dlvr.it/yczng #gizjp

kohisuki :めも RT @gohsuket: 各キャリアとメーカーのCarrierIQ関係状況 RT @privacyint Which companies are on the Carrier IQ bandwagon? -- Engadget - http://tinyurl.com/cefqydv

irfanramdhan :#TechCrunch Don’t Blame The IQ, Blame The Carrier http://bit.ly/rJQCj1

repre12 :自分のじゃリネーム予めしてあるのか、traffic monitorでもわからん androidは手間隙かかりすぎるあんどろいど速報 キャリアが仕込む個人情報収集アプリ『Carrier IQ』

soh_alternative :Carrier IQ問題 - 「ユーザーのキー入力記録や送信はない」と米セキュリティ専門家

Lope_lw :NiiのBlog: Android等にCarrier IQが実装されているとプライバシーがだだ漏れらしい  とりあえずEVO3Dを購入したわたし大勝利ということでよろしいか

kalab1998 :「Carrier IQ」問題。「iOS5では外された」とどこかで見て自分には関係ないと思ったら,第4世代ipod touch(iOS5)でもどっこい生きていて(自分がonにした?)無線LAN経由でログ送られていた.とりあえずoffに出来るみたいなのでoffに.脇が甘いorz...


その他に気になったことはこのあたり。
ikutana :やる夫で学ぶ暗号。 描いてる途中で放置してるけど、需要あるかなぁ。 http://pic.twitter.com/h9GTWIsg


ntsuji :ポッドキャスト、セキュリティの「アレ」- 第4回 うかうかしてたら冬が始まるよスペシャル 公開しました。移動時間などのお供にw http://bit.ly/ujMPyf#tsujileaks


expl01t :「情報化推進室の態勢を拡充する形で民間の専門家も加える」とのこと。来月にも設けるのかぁ。Reading: 参議院に情報セキュリティー部署 #fb


mt7080 :企業の通信の0.6%は「ウイルスの疑い」、ブルーコートが調査 - ニュース:ITpro http://nkbp.jp/tdcyH6#itprojp


07c00 :すべてのアンチマルウェアソフトで検知してくれる VirusTotal: http://virustotal.com #セキュリティさくら

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。