UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について

UNIQLOじゃないところにtwitterのユーザー名とパスワードを送信するUNIQLO LUCKY LINEについて、セキュリティに詳しい人たちが調査しています。そして、高木先生が電突したりしました。
高木浩光 セキュリティ ユニクロ はまち。 UNIQLO
19906view 8コメント
71
はまちや2 @Hamachiya2
ユニクロのやつ "http://uniqlo-happy-line.s2factory.co.jp/" でぐぐると行列の一覧が見れますよ。あとpostするときパスワード平文で流してるから気になるひとはやめといたほうがいいかも?
はまちや2 @Hamachiya2
いやべつにflashで見れる行列がテキストで見られるだけだから、それほどたいしたことじゃないと思うけど…
水無月ばけら @bakera
[メモ] まあFlashだとこういうのを読んでいることは想像に難くないですよね。 http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt
水無月ばけら @bakera
Twitterのニックネームにタブとか混入できるのかしら……。いや、試しませんけど。
水無月ばけら @bakera
ユニクロのアレは POST 先を見れば http://www.s2factory.co.jp/ が関わっていることはほぼ自明だと思うのですけどね。
はまちや2 @Hamachiya2
「ユニクロで個人情報とパスワードが流出だー」みたいなさわぎになってる
水無月ばけら @bakera
@keita マジレスすると、ブラウザアクセスであっても故意にF5連打したりするケースはありえる (実際あった) ので、ブラウザだからというのはあんまり関係ない気がしておりますよ。
Keita Kitamura @keita
OAuthを使わなかった理由は十分に分かる。急にtwitterの変なページが表示させられるだけで敷居は少し高くなりリーチが減るのは目に見えてる。普通のユーザのリテラシー的になんだこれってなるでしょ。あのページはどうにかした方が良いね。広義の意味での”デザイン”がされてない。
Keita Kitamura @keita
今のところやるとしたら、OAuthに飛ばす前に、利用者側で、十分な説明をした上で承認画面に飛ばすしか無いね。
Keita Kitamura @keita
件のキャンペーンサイトは、本当にパスワードを取得してAPIを利用する必要があったのか?そこが疑問。無理矢理twitさせる為にログインする必要があった、っていうのだったら論外。
Keita Kitamura @keita
OAuthが嫌な理由のもう一つは、キャンペーンサイトは”手軽さ”ってのが重要だと思ってる。説明無しで、サクッと見れて、パッと体験できる、というような。ユーザが閲覧してる最中にちょっとでも他の事を考えさせては駄目なんじゃ無かろうか。間に訳の分からんページが入ってるだけで残念。
Keita Kitamura @keita
そう当選通知かな、とも思ったんだけどパスワード取らなくても十分他の手段があるよね。もし本人確認したいなら、その時に初めてOAuthを使ってログインを求めたら良いんじゃないかって思った RT @KojiroFutamura: @keita プレゼント当選通知にDM使いたかったとか。
Hiromitsu Takagi @HiromitsuTakagi
よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line
connect24h @connect24h
高木先生、楽しそうですね。RT @HiromitsuTakagi: よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line
ozero dien @ozero
高木先生、とうとう「後で吊るす」から「今吊るす」に進化。 RT @HiromitsuTakagi:14744974063 よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line
黒翼猫|ω・)。o(や、やばた2000) @BlackWingCat
【警告】ユニクロの件について解析して、緊急記事書いたよ 『【臨時ブログ記事】危険?!UNIQLO のTwitter 連動イベント』 #uniqlo_line http://blog.livedoor.jp/blackwingcat/archives/1161581.html
黒翼猫|ω・)。o(や、やばた2000) @BlackWingCat
他のサービスはBASIC認証だったけど、ユニクロは自サーバーに生でIDとパスワード送ってから一旦処理してるから違うかも・・・ QT @cheebow: 今までだって、ユーザ名とパスワード入力するサービス(TwitPicとか)使ってきてるんだし、いまさら大騒ぎするのも #Tw
黒翼猫|ω・)。o(や、やばた2000) @BlackWingCat
うちのブログに書いたけど、流出じゃなくて、非常にまずいFormの実装 QT @aya414: 困ったねぇ(;´Д`)RT @eno63: RT @aya414: データ流出らしいねー。RT @yoichiro51: なに?ユニクロ、やらかしたの??
黒翼猫|ω・)。o(や、やばた2000) @BlackWingCat
そう、ブログに通信ログの内容を載せたから確認してみてね。平文でTwitter.comに送るんじゃなくて、uniqloに一旦送ってるのが問題。 QT @meganet00: これパスワードって完全に平文で送られちゃってるんですか?
水無月ばけら @bakera
「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。
Sato Atsushi @atsushis
ひとことで言えば「親切機能」ですね。@bakera 「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。
IWAI, Masaharu @iwaim
一気に取るUIがあれなのかも。 QT @bakera: 「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。
水無月ばけら @bakera
@fshin2000 ダミーのIDとPASSを入れてFirebugあたりで通信をトレースすれば分かりますが、HTTPでIDとパスワードをそのまんまサーバに送信しています。
水無月ばけら @bakera
@fshin2000 password=testpass&(中略)&username=bakera みたいなのが http://uniqlo-happy-line.s2factory.co.jp/system/stand_in_line.php にPOSTされますね。
残りを読む(51)

コメント

yousukezan @yousukezan 2010年5月26日
高木せんせいの電話終わった
yousukezan @yousukezan 2010年5月26日
デコレーションという機能を知った
ガットリベロ @fn7 2010年5月26日
RT @HiromitsuTakagi: よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line
yousukezan @yousukezan 2010年5月26日
BlackWingCat氏のツイートを追加しました
☆TAC★🐥 @tac_s 2010年5月26日
RT @BlackWingCat: 【警告】ユニクロの件について解析して、緊急記事書いたよ 『【臨時ブログ記事】危険?!UNIQLO のTwitter 連動イベント』 #uniqlo_line http://blog.livedoor.jp/blackwingcat/archives/1161581.html
☆TAC★🐥 @tac_s 2010年5月26日
RT @Hamachiya2: ユニクロのやつ "http://uniqlo-happy-line.s2factory.co.jp/"; でぐぐると行列の一覧が見れますよ。あとpostするときパスワード平文で流してるから気になるひとはやめといたほうがいいかも?
☆TAC★🐥 @tac_s 2010年5月26日
RT @bakera: [メモ] まあFlashだとこういうのを読んでいることは想像に難くないですよね。 http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt
ログインして広告を非表示にする
ログインして広告を非表示にする