はてなブックマーク - 楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ)

楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ)

blog.spicebox.jp

タグ : security セキュリティ楽天 rakuten webservice web 考察 Web Service Robots.txt 個人情報

コンピュータ・IT 154 users

ラボ神部です。今日、楽天市場のメルマガ登録確認画面から個人情報が流出しているらしいという話が話題になっていますが、流出経路が何とも不可解。そこで、可能性をいくつか挙げてみて、下手な推理をしてみようかと思います。そもそもの原因はそもそもの原因は、Google のロボットのように、メルマガの本来のセッション所有者以外が、メルマガ登録の画面遷移の跡をたどっているところにあります。 URL で言うと https://emagazine.rakuten.co.jp/ns?act=chg_rmail_delet... > このページを見る

最終更新時間: 2008年09月29日22時26分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

fukumarusuke
hoge security 2009/07/01
kahusi WWW
技術的な話 2009/05/27
sohei 楽天, セキュリティ
良い分析。「しかし根本的なところを見直すとすれば、やはりメルマガ解除の仕組みのセッション管理についての扱いに配慮が必要だったかのではないでしょうか。」 2008/10/02
nilab rakuten, security
楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ) 2008/10/02
bwhr
あとで 2008/10/02
blueribbon security, 個人情報, 説, 謎
「ユーザが自分のセッション情報を残したまま（ソーシャル）ブックマークしたところに突破口が生まれてしまった」 2008/10/01
adsty セキュリティ, 考察
「下手な推理」を前置きにした考察。 2008/09/30
R-STYLE
セッションIDを毎回生成してないってこと？ 2008/09/30
TAKESAKO security
【（追記５　犯人はソーシャルブックマーク？）】 2008/09/30
aspx
https 2008/09/30
tokuhirom
URLには、どのメルマガか、という情報だけを埋めておき、URLにアクセスした時点でログインさせるべき。でFAだとおもうのですが。 2008/09/30
lichten article
どんなに｢URLで（セッション管理）いけそう｣でも、色々出てくるね・・・・・・Javascriptに続いてCookieも復権するのかな 2008/09/30
zorio
対策するべきなのは楽天だろうが、どうするべきなんだろ。Robots.txtも紳士協定だし、セッションIDの有効期間も程度問題だから、セッションIDをURLに含める方式を止めるしかないかもしれん。Cookie使えば済む話だし。 2008/09/30
LukeSilvia security, mobile
セッションID つきURL の危険性。そこからクローラがリンクをたどる可能性がある。そのURL をオンラインブックマークで登録＞クローラがたどれる状態にということもありえる 2008/09/30
ka-wara it, 防災
良い情報。全貌はまだ不明だが、現時点でソーシャルブックマークが原因では？、との事。／楽天メールマガジン情報漏洩。／メルマガ 2008/09/30
otsune
仮にソーシャルブックマークされたとしても、そういう情報を表示するページはmetaヘッダーでNOINDEX,NOARCHIVEを出しとくもんじゃね 2008/09/30
g616blackheart
「楽天がまたやらかしたｗ」とかただ言ってる人よりはよっぽどまともな推理。ツール系の仕業じゃないとするとふりだしに戻って楽天側の問題の線もあるだろうけど。 2008/09/30
mrmt
ところどころ論理が変なとこが気になる 2008/09/30
amimotosan
某っていうと「はてな」？かと思っちゃうよ 2008/09/30
fbis security
追記５まで読んだ。面白い。まさかYahooブックマーク！？ 2008/09/30