FB良品サイトリニューアルでXSS祭りまとめ

SAKIYAMA Nobuo/崎山伸夫 @sakichan

「セキュリティの不具合」と決して言わないところがポイント。それ言い出すと他のも認めないといけなくなるからね RT @hiwa1118: FB良品サイトの検索機能の不具合についてご指摘頂いた皆さん感謝。この度はご心配をかけました。すみません。関係各所の対応により問題解消済みで、

Satoshi Kato @katoSat

市長様にメンションしてからも2時間近く。もう寝ますので以下ご参照。ログインなし（アカウント不要）でもリスクの概要はわかります。まずFB良品ポータルから、適当なショップに入ります。例えば燕三条 http://t.co/oVp6jFlH へ。（続く）

Satoshi Kato @katoSat

（承前）この問題、makeshop.jp側の実装仕様にも疑問がありますが、FB良品側でも工夫することで防ぐことが可能でしょう。また、そもそもWebサイトがSSL化されていれば、盗聴行為自体が困難になるでしょう。以上、早急な対応を期待します。

Satoshi Kato @katoSat

（おまけ）makeshop.jpのマニュアル http://t.co/jotaSKmQ を読む限り、makeshop.jpサイト内からの利用想定にしか見えない。つまり、FB良品のやり方は、想定外か裏情報っぽい。でも、それを許すmakeshop.jp側の実装がアフォ過ぎな気も。

Satoshi Kato @katoSat

まあ、これでFB良品責めるのは酷な気もするが、そもそもSSLにしておけば顕在化しにくい問題であることは確か。

熊ノ助 @kuma_suu

@xsabakan あ、これ一応パスワードはhttpsにポストしてますよ。ひろみちゅ先生はいい加減なので、信用しない方がよいかと。スマホページはフルSSLですし。

Satoshi Kato @katoSat

さっきFB良品から明示的なログオフをしなかったのだが、makeshop.jp側もログオン状態のままや。セッション寿命はどれくらいやろか。

Satoshi Kato @katoSat

↓てことは、盗聴だけではなく、Webブラウザのキャッシュからも会員情報修正画面行けそうじゃん、FB良品。現実的にはそちらのリスクがよりヤバい。コワ。

杉山 隆志 @TakaFlight

@katoSat ご指摘ありがとうございます。確認させ、必要な処置をします。

アレナカンジノグラード @ronzo_0718

FB良品、問題は検索機能だけじゃないってわかってないみたいだし、一向に解決するつもりもないみたいなので、とりあえずIPAに通報しといた。 #takeotoilet

杉山 隆志 @TakaFlight

@hiwa1118 昨日はその時間、すでにオフラインでした。初期のご連絡が遅くなり、申し訳ございません。 @katoSat

Seiji Matsuda R.I.P. @SeijiMatsuda1

FB良品のシステムの問題は「検索の不具合」などという些細なことでは無いのですがね。 https://t.co/ifxyMd26 手放しに「すごい・素晴らしい」と狂信的な賞賛をする前にきちんと情報を探してその目で確かめることをお薦めしたい。 http://t.co/6J5gmxhr

Satoshi Kato @katoSat

今朝、起きてみたら、（昨晩明示的にログアウトしなかった）FB良品とそのmakeshop.jpのログインセッションは有効のままだった。この状態で平文ソースがキャプられたりすると、とてもリスキー。

ふむ (主に山とオートバイ) @fmht7

@h_okumura @ttmtko @EG_MI 検索機能の問題は解消したらしい http://t.co/OGE1d4x3 ですが、まだ多数セキュリティの問題はあるようで、いくつかRTしてあります。 @fmht7 をご参照。

Satoshi Kato @katoSat

@makeshopjp こんにちわ。FB良品サイトでmakeshop.jpの会員情報修正画面の脆弱性と思われるものを発見しました。 http://t.co/Mrw80r8b http://t.co/l3OFRsT2 http://t.co/6ls4vEra あたりのご参照を。

【makeshop】ネットショップ・ECサイト構築サービス💻 @makeshopjp

@katoSat ご連絡・ご指摘ありがとうございます。ご指摘いただいた件につきまして、修正・対応を進めさせていただいております。状況を真摯に受け止め、対応させていただきたいと思います。

杉山 隆志 @TakaFlight

@makeshopjp よろしくお願いします m(._.)m @katoSat

MadBoo @MadBoo

FB良品だかの脆弱性を調べてたやつらを全員検挙してみたらいいんだ 警察の紳士的な調べによって自白する人が大量に出てくることでしょう

mala @bulkneets

他のサイトにも影響及ぶのに攻撃対象だと見なしたら土日に平気でゼロデイ晒すし「こんなのも見抜けないの」とかいうなら導入店舗2万サイトぐらい全部に言って回って来いよ。現実的なリスクとか予算に見合った実効性のある対策とか無視して、セキュリティに関する事柄が完全にクレームの道具になってる

yousukezan @yousukezan

FB良品のセキュリティチェックと言うことでサイト見てるうちにいろいろほしくなってる罠。

アレナカンジノグラード @ronzo_0718

@bulkneets 他の2万サイトなんざ誰も興味ないんですって。「それが今回の問題の本質なんですよ？」バカ市長を擁護したってバカにされるだけ損ですよ。 #takeotoilet

Seiji Matsuda R.I.P. @SeijiMatsuda1

#takeotoilet https://t.co/ifxyMd26 https://t.co/qgRdXrVN https://t.co/vkYmsZPy https://t.co/gLGc3w49 https://t.co/rlYoJ1uP

Seiji Matsuda R.I.P. @SeijiMatsuda1

#takeotoilet どの時点が安全だったのか不明ですね。 https://t.co/odY3iJaX http://t.co/6J5gmxhr

大月市長　小林のぶやす @nobukoba

ＦＢ良品　まだまだ広がります。 http://t.co/VOXYOiuS

Seiji Matsuda R.I.P. @SeijiMatsuda1

#takeotoilet 危機管理意識ゼロ https://t.co/ju0TNFBB