SSLプロキシの挙動についてソフトバンクモバイル 宮川CTOに何とかしてと頼んだらすぐに何とかなった話

Kousuke Ebihara💉💉 @co3k

OpenPNE 3.5.3 での「かんたんログイン」の端末固有IDからの（部分的）脱却で困った点 http://ff.im/-lW7BT

Hiromitsu Takagi @HiromitsuTakagi

@co3k SoftBankのSSLの件、逆にsecure.softbank.ne.jpを通さない方で統一した方がよいです。将来その機能が消滅する可能性があるからです。secure.softbank.ne.jpを通さないように統一することは技術的にできそうですか？

Hiromitsu Takagi @HiromitsuTakagi

@co3k http://redmine.openpne.jp/issues/1112 で「部分SSL機能を有効にしている際に」とありますが、httpとhttpsで同じセッションIDを使っていると、httpで盗聴されたセッションIDでセッションハイジャックされます。それが問題か…

Hiromitsu Takagi @HiromitsuTakagi

@co3k …問題か否かは、そのサイトにおいてSSLで何を保護したいのかです。パスワードの保護が目的ならハイジャックされてもかまわないとする判断もアリですが、それ以外の保護が目的なら、ハイジャックがどのページにまで及ぶのかで判断しなくてはなりません。それから「部分SSL」…

Hiromitsu Takagi @HiromitsuTakagi

@co3k …「部分SSL」ではない場合、つまり全ページをSSLにする場合でも、cookieにsecure属性を付けておかないと、httpへアクセスさせられることによってcookie内容を盗聴されます。詳しくは「secure cookie」で検索。

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi 断言しにくいところですが、 HTTP → HTTPS 時の URL が secure.softbank.ne.jp になることは現状不可避と判断しました。端末上からこの URL のブックマークもできますし、廃止というのはなかなかないと思ってます

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi JavaScript で location.href プロパティを書き換える方法はもしかすると可能性あるかもしれませんが、全端末で使える手ではありませんし……。万全を期すため、今の方法で問題ないかどうか月曜日あたり問い合わせてみます！

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi ああ、言われてみればそうですね……これは対応するべきでしょう。 3.4 と 2.14 にもそのうち反映させる想定で、 3.6beta1 向けにチケットを作成して対応します。ありがとうございます。

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi http://redmine.openpne.jp/issues/1161 本件についてチケット作成しました。ありがとうございます

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi ちょうど開いていたサイトをいくつか見てみたんですが、結構普通に HTTP と HTTPS で同じセッション ID を使っているっぽいですね……。見落とされがちなところなんでしょうか

Hiromitsu Takagi @HiromitsuTakagi

@co3k サイトが何をSSLで守っているのかが明らかでないと、必ずしも問題があると言えないから、指摘する側は面倒だからと思われます。サイト運営者がSSLで保護していると主張しているものが、セッションハイジャック後に閲覧できる状態なら、脆弱性です。

Hiromitsu Takagi @HiromitsuTakagi

@co3k http://d.1555.info/2010/05/01/jpmobile-site-security/ に「リンクを <a href=”javascript:window.location:’https://example.com/’”> で作れ」とある…

Hiromitsu Takagi @HiromitsuTakagi

@co3k …のですが、これだとJavaScriptが無効の端末でリンクを辿れないですよね。なんとか、SoftBankのゲートウェイに勝手にリンクを書き換えられないようにしつつ、JavaScript無効でもリンクを辿れる書き方はないものですかね。

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi そうなんですよね……。それこそゲートウェイの変換のバグを見つけてそれを利用するとかって話になってくるんでしょうか……その場しのぎでいやーな感じですね

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi あと、そもそも夏モデルの JavaScript 正式対応に伴いブラウザ側でも secure.softbank.ne.jp に書き換えられるようになっていないかどうかなど心配です（先ほどの window.location 対策として）

Hiromitsu Takagi @HiromitsuTakagi

@co3k ソフトバンクモバイルに問い合わせるならば、httpからhttpsへのリンクを勝手にsecure.softbank.ne.jpに書き換えないでほしい、もしくは、書き換えないリンクの手段を用意してほしいと要望するのがよいと思います。私からもできるときが来たら要望しますが。

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi そうですね、わかりました。アプリ制作者の立場からそのように要望してみようと思います。

Hiromitsu Takagi @HiromitsuTakagi

@co3k @bakera href=" https://example.com/" でいけるっぽいことが判明。ゲートウェイで書き換えられず、手元の816SHではリンクを辿れました。他キャリアを含む全端末で辿れるならば使えるかも。あとは、これを直させず公式に認めさせること。

Hiromitsu Takagi @HiromitsuTakagi

href="スペースhttps://..."

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi 取り急ぎ手元の 840P で確認しましたが href=" https://example.com/" 方式でうまくいくことを確認しました。ただ、Location ヘッダでリダイレクトさせたい場合には使えないですね……

Kousuke Ebihara💉💉 @co3k

http://creation.mb.softbank.jp/request.html 「技術的な御質問、御意見、御提案等に関しましては、本サイトへ 会員登録 (無料)をしていただきました上で、本サイトのコミュニティ機能をご利用ください。」……なんだと？

Kousuke Ebihara💉💉 @co3k

.@HiromitsuTakagi 技術的な質問や要望はコミュニティ機能を使え（ http://bit.ly/cwl4jG ）とのことなので http://bit.ly/cLKM0C で質問しました。たぶん回答こないので別途メールでも問い合わせします

Kousuke Ebihara💉💉 @co3k

secure.softbank.ne.jp について SoftBank に質問したら残念な結果になったの巻 http://ff.im/-m5q8t

Kousuke Ebihara💉💉 @co3k

@HiromitsuTakagi 公開前提でsecure.softbank.ne.jpに質問したら答えてもらえなかったので取り急ぎお伝えします http://co3k.org/diary/9

Kousuke Ebihara💉💉 @co3k

.@masason 御社携帯端末でHTTPS通信の挙動がよくわからなくてCookieが安心して使えない問題について情報を公開してと窓口に相談したら残念な結果になったのですが、どうしたらいいですか？（またはなんとかしてもらえますか？） http://co3k.org/diary/9