高木浩光＠自宅の日記

2006年01月21日

■ しばらく日記をちゃんと書けそうにない

先々週から実家の都合で、東京と実家を行ったりきたりしている。先週と来週は、打ち合わせや講演や取材をドタキャンさせていただいており、各方面には大変ご迷惑をおかけしてまことに申し訳ないこととなってしまった。

そんな折、

PHP : 「プログラミング解説書籍の脆弱性をどうするか」への反論のようなもの1, PEAK XOOPS サポート&実験室
PHP : 「プログラミング解説書籍の脆弱性をどうするか」への反論のようなもの2, PEAK XOOPS サポート&実験室

というコメントを頂いた。しかし、しばらくの間、じっくり日記を書くことはできそうにない。とりあえず、簡単に書けるところだけ書いておく。

JavaScriptによる連続自動POSTをされるようなサイト（悪意があるサイトというより、脆弱なサイト）にセッション継続中に訪問することがある、という前提であるなら、高木氏が4/27に書いた対策法も、対策としては不完全です。

前述の(A)というのは、いわゆるPHPセッションのことだと思われますが、そうであれば以下の方法で破ることができます。

セッション固定をしかける
そのセッションが生きた状態でユーザがログインしてしまう（セッションIDは変わらない）
セッションIDもPOSTにつむCSRFをしかける

PHP : 「プログラミング解説書籍の脆弱性をどうするか」への反論のようなもの1, PEAK XOOPS サポート&実験室

一般に、Session Fixation脆弱性のあるサイトに対して、Session Fixation攻撃が成功すると仮定した場合、攻撃者は当該サイトに対してセッションハイジャックができることを意味する。セッションハイジャックによってもたらされ得る被害の集合 T_hijack と、CSRF (Session Riding)*1攻撃によってもたらされ得る被害の集合 T_csrf は、任意のWebアプリケーションにおいて T_hijack ⊇ T_csrf の関係にある。したがって、CSRF (Session Riding)攻撃の防止策を語る際には、Session Fixation脆弱性がないことを前提とするのが当然である*2

また、「（悪意があるサイトというより、脆弱なサイト）」と書かれているが、何かの誤りだろう。悪意があるサイトは自由に作ることができる。

ログインした時点で、セッションIDを変えるようにする。
ログインしない限りセッションは開始しない
session.use_only_cookies を on にする
いずれかの方法で、この攻撃は防げますが、この4/27の日記にはどこにも触れられていません。

PHP : 「プログラミング解説書籍の脆弱性をどうするか」への反論のようなもの1, PEAK XOOPS サポート&実験室

Session Fixationの防止策については、Internet Week 2004と同2005のチュートリアルで説明している*3が、CSRFの正しい防止策の検討とは関係がない（先述の通り）。

また、「いずれかの方法で」防げるというのは誤りである（3番目だけでは防げない場合がある）。

次。

なんらかのプロクシ・キャッシュに残る可能性があるからです（HTTPヘッダにキャッシュ不可と書いてあったとしても）。

PHP : 「プログラミング解説書籍の脆弱性をどうするか」への反論のようなもの1, PEAK XOOPS サポート&実験室

まず、cacheは禁止するのが当然であり、cacheを禁止してもcacheに残る場合というのは、Webアプリケーションの責任ではない。残るような製品の脆弱性である。

Webアプリケーション以外の構成要素の脆弱性の影響を受けにくいWebアプリケーションの設計方法について言うならば、セッション追跡用のセッションIDの格納場所は、cookieよりも、hiddenなパラメタに入れてPOSTで渡す方が安全である*4。なぜなら、cookieが漏洩するブラウザの脆弱性が見つかることによるセッションハイジャックの脅威の方が深刻だからである。現実には多くのWebアプリケーションがcookie方式を使用しているが、これは、柔軟な画面設計が可能であることを優先しているためであろう*5。

次。

ワンタイムチケット（トークン）のコードなら4/27の時点でも、ちょっと探せばいくらでも見つかったはずです。

PHP : 「プログラミング解説書籍の脆弱性をどうするか」への反論のようなもの1, PEAK XOOPS サポート&実験室

意味がわからない。

次。

なお、SSLの指摘については、山本氏の書かれたことは特段間違っていません。もしかすると、高木氏は「『警告なんて無視すれば良い』なんて状況を作り上げたら、せっかくのSSLの安全機構が意味をなさない」という主張かもしれませんが、そういう思想的な主張と、書籍の脆弱性を同列に並べると、何を言いたいのか、テーマがぼやけると思います。

PHP : 「プログラミング解説書籍の脆弱性をどうするか」への反論のようなもの2, PEAK XOOPS サポート&実験室

これは、

非商用サイトなどで単に暗号化の目的だけならプライベートCAで発行した証明書でも問題ありません。

山本勇, PHP実践のツボセキュアプログラミング編, 九天社, p.213

のことだが、これは技術的に間違いである。「特段間違っていない」などというのは技術的に間違いである。認証パスの検証ができない証明書によるSSL通信は、SSL暗号通信として正しく動作しないのであって、盗聴され得るものなのだということをいいかげん知ってほしい。

今時分になってもまだ、技術者がこの種の誤りを自信げに語って憚らない*6というのは、はなはだ嘆かわしい。これ以上嘘を広めないでくれ。

（今日は私にはここまでしか書く余裕がない。）

*1 ここでは、セッションを使わないCSRF攻撃の話を除外している。

*2 同様の事例として、「そのCSRF対策はXSS脆弱性があると効果がない」などと言う人も見かけたことがあるが、XSS脆弱性も同じくセッションハイジャックができることを意味するのであるから、CSRF (Session Riding)攻撃の防止策を語る際には、それより先にXSS脆弱性が排除されていることを前提とするのが当然である。

*3 なお、Session Fixationには、(1)使用するアプリケーションサーバによらない一般的な問題（使用ドメイン名による）の他に、(2)セッション追跡方式としてURL rewriting方式からcookie方式へと自動切換えする機能を持つアプリサーバ製品固有の問題と、(3)PHP固有の杜撰な仕組みの問題（セッションIDとして無効な文字列を与えるとそれをセッション IDとして有効なセッションを作ってしまうというPHPの欠陥（設定で回避可能））の3種類がある。

*4 実際、銀行のWebアプリケーションはこの方法で作られているものが古くから多かった。

*5 セキュリティを重視したショッピングサイトでは、パスワードの再入力によるセッションの二重化をはかり、外側をcookie方式、内側をhiddenなPOST方式と、ハイブリッド構成をとっているところもある。

*6 むしろ非技術者の方が直感として正しく理解するだろう。「警告が出た。暗号通信に異常があるようだ。」と素直に。「SSL暗号化としては問題ない」などという誤りを信じ込むのは、技術者ならではである（物事を知っている気になっている）わけだが、そうした半端な技術者が非技術者にまで誤りを吹聴して広げている現実がある。

本日のTrackBacks(全8件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20060121]

▼ quinta essentia:[tech]技術者ほど間違う(以前から高木さんの日記を読んでいる人はこのトラックバックを辿ってくる価値はないです) (2006年01月22日 19:04)

同内容の過去エントリの引用とリンクを置こう。たいしたことを書いていないのにトラックバックしたのはこのためなので、以前から高木さんの日記を読んでいる人はこのトラックバックを辿ってくる価値はないです。たとえば、金庫の上にその鍵が置いてあります。この金庫は..

▼ おさかなラボ:hiddenにセッションIDを埋めるのは本当に安全なのか (2006年01月24日 08:33)

以前高木氏がCSRF対策について「セッションIDをhiddenに入れればよい」と書かれました。その時僕は「キャッシュに残ると危険だ」という理由で適当な対策ではないと主張したのですが、同様の主張について以下のような反駁がありました。

...

▼ 言いたいこと雑記帳:高木浩光氏とGIJOE氏の論争について、GIJOE氏に反論してみる (2006年01月29日 00:39)

高木浩光氏と GIJOE (本名・後藤峰陽) 氏が、GIJOE氏の著書「PHPサイバーテロの技法―攻撃と防御の実際」をめぐって論争している。論争の場所は「[http://takagi-hiromitsu.jp/diary/ 高木浩光＠自宅の日記]」と「[http://www.peak.ne.jp/xoops/md/news/ PEAK XOOPS サポ..

▼ MS-K's irresponsible Diary:ここ最近目を話せない (2006年01月29日 21:11)

高木さんの日記
・プログラミング解説書籍の脆弱性をどうするか
・ぜひ買いたいこの一冊（脆弱性コードレビュー練習用その1）
・しばらく日記をちゃんと書けそうにない

後藤さ

▼ がるの健忘録:セキュリティ関連色々と(セッションIDとCSRFと暗号と) (2006年01月30日 12:40)

んっと。先日書いたお話…おもったよりもあちこちで火の手が上がっております(苦笑まぁ興味ありありのネタなので、色々と。 …微妙にBlogの趣旨からずれますが、まぁ頑張って沿うようにしてみます。まず、高木先生の記述。しばらく日記をちゃんと書けそうにない( http

▼ PEAK XOOPS Support&Experiment:「しばらく日記をちゃんと書けそうにない」への反論 (2006年01月30日 13:24)

さきほどざっと読ませていただきましたが、予想していたほどの量ではなく、また、こんな大嘘がまかり通っては困るので、当初予定していた「『サニタイズ言うなキャンペーン』の嘘」の前に先んじて一通りのコメントをつけておきます。

▼ Security Blog:オレオレ証明書では暗号化自体無意味なんじゃないのか (2006年01月31日 09:45)

http://www.peak.ne.jp/xoops/md/news/arti...

▼ PukiWiki Plus! (PukiWiki/TrackBack 0.4):FrontPage (2009年03月01日 04:22)

リンク集新規ページ作成: FrontPage/ IP認証によるアクセス制限のテクニック（2/2） -- 2005-07-17 (日) 01:57:47 mod_access - Apache HTTP サーバ -- 2005-07-17 (日) 01:58:00 Macな生活 - www.mac-life.info - -- 2005-08-08 (月) 01:05:10 Mac...

本日のリンク元

ココログ [stressfulangel cocolog] ×82 : 66, 8, 4, 3, 1 (2018-06-10)
はてなダイアリー [gallu] ×7 : 3, 1, 1, 1, 1 (2016-10-04)
http://blog.kjirou.net/p/455 ×83 (2012-11-22)
http://jfut.integ.jp/category/java/page/12/ ×4 (2010-11-11)
スラッシュドットarticle [06/03/20/1723254] ×24 : 12, 6, 3, 2, 1 (2010-10-26)
http://kjirou.sakura.ne.jp/mt/2010/01/php_8.html ×77 (2010-01-05)
http://kjirou.sakura.ne.jp/mt/ ×7 (2010-01-05)
http://xoops.peak.ne.jp/modules/news/index.php?storytopic=0&... ×4 (2009-04-24)
http://xoops.peak.ne.jp/modules/news/index.php?storytopic=3&... ×17 (2009-02-26)
はてなダイアリー [gallu 20060130] ×15 : 13, 2 (2008-03-25)
Yahoo!ブログ [yohei0511 875692] ×31 (2008-01-19)
http://materia.jp/blog/20060122.html ×6 (2007-12-19)
http://blog.till-daylight.org/archives/4-unknown.html ×34 (2007-09-25)
http://xoops.peak.ne.jp/modules/news/index.php?storytopic=3&... ×10 (2007-06-14)
http://xoops.peak.ne.jp/md/news/index.php?page=print&storyid... ×11 (2007-03-28)
http://asiamoth.com/mt/archives/2007-01/12_2352.php ×96 (2007-01-14)
http://www.mono-space.net/blog/2006/01/ ×4 (2007-01-07)
http://xoops.peak.ne.jp/md/news/article.php?page=article&sto... ×6 (2006-12-26)
http://xoops.peak.ne.jp/md/news/index.php?page=article&story... ×61 (2006-11-29)
http://jfut.featia.net/diary/20060130.html ×11 (2006-11-15)
http://xoops.peak.ne.jp/md/news/index.php?page=print&storyid... ×4 (2006-11-14)
http://xoops.peak.ne.jp/modules/news/index.php?page=article&... ×24 (2006-11-10)
http://xoops.peak.ne.jp/modules/news/article.php?storyid=82&... ×51 (2006-11-08)
http://xoops.peak.ne.jp/md/news/article.php?storyid=82 ×38 (2006-11-05)
http://ska.to/dev/bookmark/ ×5 (2006-10-20)
http://www.peak.ne.jp/xoops/modules/news/index.php?storytopi... ×7 (2006-09-14)
http://jfut.featia.net/diary/200601.html ×6 (2006-09-04)
mimori.org/~h tdiary ×13 : 7, 3, 3 (2006-08-15)
http://www.peak.ne.jp/xoops/md/news/index.php?page=article&s... ×6 (2006-07-17)
スラッシュドットcomments [307416] ×97 : 25, 22, 22, 5, 4, 4, 3, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1 (2006-03-30)
http://www.mono-space.net/blog/archives/misc/index.html ×4 (2006-03-29)
http://ms-k.serveblog.net/archives/57-unknown.html ×4 (2006-03-25)
http://www.peak.ne.jp/xoops/modules/news/index.php?storytopi... ×7 (2006-03-22)
http://www.mono-space.net/blog/blosxom.cgi/2006/01/ ×4 (2006-03-10)
http://www.peak.ne.jp/xoops/md/news/print.php?storyid=82&eas... ×13 (2006-03-09)
www.mimori.org/~h tdiary ×15 : 9, 3, 2, 1 (2006-02-27)
http://www.peak.ne.jp:8080/xoops/md/news/article.php?storyid... ×6 (2006-02-22)
http://www.peak.ne.jp/xoops/md/news/?easiestml_lang=xlang:ja... ×4 (2006-02-07)
Yahoo!ブログ [quitthemusic 24047659] ×81 (2006-02-03)
http://gall.wablog.com/24.html ×26 (2006-02-02)
http://www.peak.ne.jp/xoops/md/news/article.php?storyid=82&c... ×6 (2006-02-02)
http://you-like.to/cgi-bin/ponytail/yukiwiki/wiki.cgi?2006/0... ×10 (2006-02-01)
http://www.do-ing.net ×5 (2006-01-31)
http://www.do-ing.net/2006/01/post_3.html ×36 (2006-01-31)
http://www.mono-space.net/blog/ ×4 (2006-01-30)
http://www.mono-space.net/blog/blosxom.cgi ×10 (2006-01-30)
http://vision.featia.net/diary/20060130.html ×9 (2006-01-30)
http://ms-k.serveblog.net/archives/4-unknown.html ×90 (2006-01-29)
mixi diary [2062] ×41 (2006-01-28)
http://www.peak.ne.jp/xoops/modules/news/article.php?storyid... ×11 (2006-01-27)
http://www.peak.ne.jp/xoops/modules/news/article.php?storyid... ×16 (2006-01-27)
http://www.peak.ne.jp:8080/xoops/modules/news/article.php?st... ×8 (2006-01-27)
http://www.peak.ne.jp/xoops/md/news/ ×57 (2006-01-27)
http://ftp2.peak.ne.jp/xoops/modules/news/article.php?storyi... ×11 (2006-01-27)
http://www.peak.ne.jp/xoops/md/news/article.php?storyid=82&c... ×18 (2006-01-27)
http://www.peak.ne.jp/xoops/md/news/article.php?storyid=82&e... ×18 (2006-01-27)
http://www.peak.ne.jp/xoops/md/news/article.php?storyid=82 ×624 (2006-01-27)
はてなダイアリー [tpircs] ×32 (2006-01-26)
はてなダイアリー [tpircs 20060126] ×4 (2006-01-26)
http://kaede.to/~canada/doc/anti-csrf-method-using-no-cache ×79 (2006-01-25)
http://kaede.to/~canada/doc/ ×6 (2006-01-24)
mixi diary [16907] ×9 (2006-01-24)
http://comenton.com/search.cgi?q=csrf ワンタイム ×52 (2006-01-23)
mixi diary [434464] ×19 (2006-01-23)
http://north.c-brains.co.jp/blog/ ×5 (2006-01-23)
はてなブックマークコメント ×8 (2006-01-23)
fc2 blog [yasudas.blog7] ×4 (2006-01-23)

検索

Session Fixation ×52 / 後藤峰陽 ×45 / セッション固定 ×14 / session fixation ×13 / Session Riding ×12 / そうにない ×12 / session.use_only_cookies POST ×10 / PHP SSL セッション ×9 / セッションハイジャック ×9 / キーワード不明 ×9 / PHP SSL通信 ×9 / GIJOE 高木浩光 ×8 / GIJOE ×7 / 高木浩光 GIJOE ×6 / 高木 XSS ×6 / プログラミング解説書籍の脆弱性をどうするか ×6 / XSS 高木 ×6 / xss 高木 ×6 / GIJOE 高木 ×5 / -hiromitsu.jp CSRF ×5 / CSRF -hiromitsu.jp ×5 / URL rewriting session ×5 / CSRF ×5 / URL Rewriting session fixation ×5 / 認証セッションハイジャック ×5 / Session Fixation php ×5 / php セッション認証 ×5 / 高木 xss ×5 / session 安全 ×4 / xoops セッション ×4 / html cache 対策 ×4 / 高木浩光ぜひ買いたいこの一冊 ×4 / php セッション暗号化 ×4 / ワンタイムチケット ×4 / session riding ×4 / しばらく日記をちゃんと書けそうにない ×4 / ＧＩＪＯＥ ×4 / php Session Fixation ×4 / xoops 日記 ×4 / php ワンタイムチケット ×4 / セッションハイジャック被害 ×3 / http SSLセッションID ×3 / "セッションID" ASP ×3 / php セッション hidden ×3 / session 自動切換え get ×3 / Hidden session 使用 ×3 / "Session Fixation" ×3 / Session Fixation XOOPS ×3 / 反論 site:http://takagi-hiromitsu.jp/diary/ ×3 / セッションハイジャック php ×3 / Session Riding 手法 ×3 / "cacheを禁止してもcache" ×3 / Session Fixation 対策 ×3 / 高木 GIJOE ×3 / セッションIDを変える ×3 / 高木浩光 Session Fixation攻撃 ×3 / PHP セッションハイジャック session.use_only_cookies ×3 / セキュアプログラミングＣＳＲＦ ×3 / -hiromitsu.jp ×3 / おさかなラボ csrf ×3 / セッションID 変える ×3 / PHP サイバーテロの技法高木 ×3 / セッション POST ハイジャック ×3 / CSRF 高木 ×3 / セッションID ssl ×2 / GIJOE サイバーテロの技法高木 ×2 / Javascript 自動ポスト ×2 / xoops 高木浩光 ×2 / XOOPS サポート ×2 / ssl キャッシュ残る ×2 / php セッションID 変える ×2 / PHP セッション SSL ×2 / 高木 php セキュアプログラミング編 ×2 / hiddenを使わない ×2 / PHP セッション管理セッション格納場所 ×2 / CSRF SSL ×2 / ssl php セッション ×2 / CSRF PHP ×2 / 高木浩光安全なwebアプリ ×2 / Session Fixation とは ×2 / url rewriting 脆弱性 ×2 / xoops ssl ×2 / サニタイズ -hiromitsu.jp ×2 / session -hiromitsu.jp ×2 / CSRF ://takagi-hiromitsu.jp/diary/ ×2 / セッション固定 cookie ×2 / しばらく ×2 / セッションハイジャックショッピングサイト ×2 / セッションワンタイム ×2 / -hiromitsu.jp cookie ×2 / セッションを使わない ×2 / セッション php 安全 ×2 / URL Rewriting cookie ×2 / session fixation php ×2 / セッションハイジャック検証 ×2 / PHP 連続POST 有効 ×2 / セッションID SSL ×2 / -hiromitsu.jp/diary/ SSL キャッシュ ×2 / POST php session ×2 / Session Fixation 攻撃 ×2 / PHP セッション問題 ×2 / セッションハイジャック ×2 / GIJOE php ×2 / ssl セッション固定ＩＤ ×2 / SESSION PHP 解説 ×2 / amazon ログインセッション ×2 / URL Rewriting機能 csrf ×2 / csrf -hiromitsu.jp ×2 / がるの健忘録 -inurl:gallu ×2 / CSRF セッション ×2 / セッションキャッシュ -hiromitsu.jp/diary/ ×2 / 非商用サイトなどで単に暗号化の目的だけならプライベートCAで発行した証明書でも問題ありません ×2 / 高木浩光 XSS ×2 / Session Fixation URL Rewriting ×2 / php セッションドメイン ×2 / php セッションハイジャック対策 ×2 / XOOPS session fixation ×2 / php ssl通信 ×2 / CSRF セッションID ×2 / セッションハイジャック対策 php 高木 ×2 / PHP SSL 通信 ×2 / cookie ×2 / php セッション ssl ×2 / php セッション COOKIE 継続 ×2 / php セッション残る ×2 / セッションID 渡し方 ×2 / ssl post php ×2 / cookie ワンタイムトークンとは ×2 / 正しい証明書 -hiromitsu.jp ×2 / XOOPS セッション ×2 / セッションID 変わらない ×2 / PHP Session Fixation ×2 / Session Fixation攻撃 ×2 / session.use_only_cookies ×2 / 高木浩光セッション固定 ×2 / セッションハイジャック -hiromitsu.jp ×2 / session fixation rewriting ×2 / -hiromitsu.jp cookie URLリライティング ×2 / -hiromitsu.jp session fixation ×2 / SESSION COOKIE 危険 ×2 / ssl post 通信 ×2 / Session Fixation脆弱性 ×2 / PHP セッション脆弱 ×2 / PHP セッションハイジャック対策 ×2 / CSRF session fixation ×2 / セッションハイジャック +-hiromitsu.jp ×2 / Session COOKIE 安全 ×2 / php 設計方法 ×2 / Session Fixation攻撃 post ×2 / Session Fixation PHP ×2 / CSRF 仕組み ×2 / php gijoe javascript ×2 / ＳｅｓｓｉｏｎＧＥＴＰＯＳＴ ×2 / セッションハイジャック高木 ×2 / 高木浩光 gijoe ×2 / 高木浩光反論 ×2 / セッション Cookieを使わない ×2 / SSL -hiromitsu.jp ×2 / セッションハイジャック実験 ×2 / csrf セッション ×2 / csrf ://takagi-hiromitsu.jp/diary/ ×2 / xoops session fixation ×2

2006年01月21日

■ しばらく日記をちゃんと書けそうにない

最近のタイトル