高木浩光＠自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない

■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト（複数）は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Ｂボタンフィッシングとは何？ 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン（Ｂボタン）を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。（略）『あれ？セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。

[stallman346]

ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない

[stray346]

ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない

[seiunsky]

現在は、はてな以外のサイトを「backurl」に指定すると、（ログイン成功時に）はてなトップページへジャンプするように修正されている。

[soyana]

via: http://en.yummy.stripper.jp/?eid=987602

[kgbu]

あー、なるほどね。自分のとこはどうかな。

[bobbyjam99]

URLチェックしなきゃダメ．

[hurvinek]

「パスワード入力ミス後の再入力の画面も含めて、常にいかなる場合も、パスワード入力の際には画面のアドレスを確認する（再確認する）」

[mitsuki_engawa]

OperaのWandとか使ってると、使用履歴のないログイン画面で「ん？」と思うようになるので便利かも。

[yssk22]

backurl でログイン前のページに戻してくれる、という先入観がある以上、(backurlを使わずに)必ずトップに飛ばす、とかもだめかな？

[webmarksjp]

hatena

[diary193]

他ドメインへのリダイレクトは危険、と

[mooiboom]

なるほど。再確認。

[picnicgraphic]

「パスワード入力ミス後の再入力の画面も含めて、常にいかなる場合も、パスワード入力の際には画面のアドレスを確認する（再確認する）。」のがめちゃ大事というお話。

[miya2000]

「ドメイン名を確認することが鉄則」yahooのログインシールはなるほどと思いました。

[teddy-g]

はてなを例にした分かりやすいフィッシングの新事例

[ezinfo]

backurl=***みたいなのに自分とこ以外が指定されてたときにYahoo!はエラーを出す。はてなは昔は出さなかった。らしい

[fuki1234]

何かセキュリティって大変だなぁと改めて思ってしまった。

[cocoiti]

開発者としては、問題とは認めにくいと感じちゃうようなタイプの問題

[n2s]

id:koyhogeさん、できればどういった場面で不便になるのかお教えいただけますか？

[mlhshino]

これは気をつけないと。

[koyhoge]

未ログイン時の処理の継続性について。分かるけど不便になるなぁ

[hiro_y]

ログイン成功時のリダイレクト先を任意のサイトに指定できる場合はダメ。

[hiro-rock]

セキュリティ関係 XSS

[asiamoth]

アドレスの確認はしているが、これは引っ掛かりそう。せっかくの記事が、はてブコメントに台無しだけど……（いや、これはたんなる独り言ですが）。

[yosh0419]

これは怖い

[fivefogs]

『パスワードを入れようとする際にその画面のアドレスバーのURLを見てドメイン名を確認することが鉄則』全くもってその通り。でも自分はやってなかった。目からウロコが落ちる思い。

[as365n2]

フィッシング。

[I11]

メールで要望しても動かないときはIPAなどの外圧を利用しよう。

[raimon49]

これは知らないとひっかかりそう。 / 語られているセキュリティの話とは関係無いけど、この日記の見出しは内容を一言で要約した素晴らしいもの。見習いたい＞自分