Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。

Firesheepについて色々調べてみたよ。

なんか色々大変だよね。
19
loop99 @loop99

さて、今日もろもろ確認した事を連続ツイートしてみようか。

2010-10-27 04:20:31
loop99 @loop99

今日一日じわっと調べていた、『Firesheep』の件。これが結構マズ-な予感。

2010-10-27 04:25:04
loop99 @loop99

軽く説明すると『Firesheep』とはFirefoxのアドオンで、これを利用すると同じワイヤレスネットワークで接続しているPCからアクセスしているgoogleやtwitter、facebook等の主要なwebサービスの他人のアカウントに簡単に成りすましができるというもの。

2010-10-27 04:34:58
loop99 @loop99

Windowsだと別途WinPcapというアプリケーションを入れなくてはいけないのでちょっと面倒だが、MACだとほぼ1クリックじゃないの?って言うくらいサクッと成りすまし環境が整ってしまう。

2010-10-27 04:37:47
loop99 @loop99

なんとなく面倒な代物である事は伝わったかと思うのですが、外で仕事をする自分にとっては非常に厄介。せっかく至る所に無線LAN環境が整い、仕事をする場所を自由に選択できるようになったのにこれでは落ち着いて仕事が出来ない。という事で調べてみたのです。

2010-10-27 04:46:54
loop99 @loop99

まずは、自宅の無線LAN環境でチェック。使用しているセキュリティ的要素としては、WEPキーのみ。MACのFirefoxにFiresheepをインストール。Windowsでいつも通りにwebにアクセス。それをMACにインストールしたFiresheepでCapturing。

2010-10-27 04:56:01
loop99 @loop99

結果は、デフォルトでCapturingが可能なwebサービスの内、いつも自分が使用しているサービスgoogle、twitter、facebook、foursquare全てで綺麗にアカウントの情報が抜かれてしまった。1クリックでそのアカウントへのログインが可能に。

2010-10-27 05:00:53
loop99 @loop99

はっきり言ってビックリしましたよ。MACのFirefoxのサイドバーには、ご丁寧に画像付きでそれぞれのwebサービスのそれぞれのアカウントへの成りすましが可能なリンクが表示される。こんな簡単に成りすましが出来るとは。

2010-10-27 05:08:08
loop99 @loop99

とりあえず感心していてもしょうがないので、一般的な対策としてログインをする際パスワード等の入力をSSL通信に変更して再トライ。結果はログイン時はかわせるもののリダイレクトされたトップページで情報を抜かれてしまい結果は同じ。

2010-10-27 05:11:48
loop99 @loop99

その後少し調べてみると、Firefoxのアドオンを利用してブラウザからの通信を強制的にHTTPSにて行わせる事が出来るとの事。ひとつは『Force-TLS』、もうひとつが『HTTPS Everywhere』。

2010-10-27 05:21:22
loop99 @loop99

『Force-TLS』はHTTPSで通信するドメインを入力するタイプ、『HTTPS Everywhere』は主要webサービス一覧の中からHTTPSで通信をするwebサービスを選ぶタイプ。個人的にたくさんアドオンを入れるのは嫌いなので、どっちか一つにしたかったのですが、

2010-10-27 05:24:20
loop99 @loop99

twitter.comにて確認したところ、『Force-TLS』のみだと最初のアクセス時にHTTPでの通信になってしまい、あえて一度トップ画面を読み込ませるのが面倒、『HTTPS Everywhere』のみだとTLの新規更新件数読み込み時にHTTPで通信されてしまう。

2010-10-27 05:28:49
loop99 @loop99

つまり、両方必要という事。orz

2010-10-27 05:29:31
loop99 @loop99

しかしこの方法も万能なわけではなく、あくまで全てのページでHTTPSの通信が可能なwebサービスのみ適用できる方法なのです。自分が普段利用しているwebサービスの内foursquareについては、HTTPSで通信をしようとしてもHTTPにリダイレクトされるので不可能ということに。

2010-10-27 05:35:47
loop99 @loop99

おかげで今横においてあるMACは、がっつり自分のfoursquareのアカウントをぶっこ抜いてますよ。

2010-10-27 05:37:52
loop99 @loop99

とりあえず自宅の無線LAN環境で応急処置的な対応をした後、PCを持って街へ出てみた訳です。それがまさかあんな光景を見ることになるとは…

2010-10-27 07:00:11
loop99 @loop99

向かった場所は、自宅近くのWIRED CAFE.。入り口近くには無料のPCが置いてあり、電源の利用も可能。さらにフリーの無線LANも完備、WEP等のセキュリティーも無し。入り口から一番奥の席に座るまでの間に持ち込んでいる自分のPCを開いている人を3人確認。

2010-10-27 07:06:46
loop99 @loop99

全員が無線LANに接続しているかどうかはわからないものの、ミーティング等でこの場所を使う人が多い事からも、結構な人数が無線LANを使用している事が伺える。とりあえず席を確保してPCを立ち上げてみると、既にfacebookのアカウントが一人丸見え状態に。

2010-10-27 07:11:09
loop99 @loop99

そのまま3時間近くPCを放置したところ、twitterアカウントが3つ、facebookアカウントが2つ、googleアカウントが1つ丸見えになっていた。さすがになりすまし行為はせずにそのまま情報はクリアしたのですが、まさかたった3時間でこんなに情報が筒抜けになるとは。

2010-10-27 07:14:14
loop99 @loop99

とにかく公衆無線LANを使う機会がある方は、何らかの応急処置はとっておいた方がよいかと。『Force-TLS』と『HTTPS Everywhere』位は入れておいてね。

2010-10-27 07:24:04
loop99 @loop99

とりあえず、二つのアドオンをインストールして起きた今のところの不具合としては、USTREAMのソーシャルストリームの書き込みが出来なくなった事くらい。理由は今のところ全く不明。まぁ別のブラウザを立ち上げれば、USTREAMの問題は大した事ないですからね。

2010-10-27 07:28:52
loop99 @loop99

ただこの『Firesheep』、スクリプトによる追記が可能なので、デフォルトではサポートされていないwebサイトも今後はぶっこ抜く事が出来るようになる可能性があります。例えばmixiとか。よく見るサイトが全体的にHTTPSで接続される構造になるまではいたちごっこな感じですかね。

2010-10-27 08:01:26
Toshihiro TAKAHASHI @takahasix

@loop99 そのニュースみたよ。そこまで気になるなら、サーバー立ててネットワークの全アクセスをVPN経由でやればいいんでね?それが駄目ならSSLトンネル作って家のサーバーへ接続してからネットみるとかかなぁ。

2010-10-27 05:33:55
loop99 @loop99

@takahasix 基本的にはブラウザで出来る応急処置で大丈夫だと思ってる。まぁ、どうしてもってなった時の為にVPN用のサーバーたててもいいかなぁ位は思ってるけど。それよりも今回の件で話題になってる、サイト側はどこ迄を、HTTPSで通信するべきかって事の方が気になるかも。

2010-10-27 06:11:00
Toshihiro TAKAHASHI @takahasix

@loop99 むーGoogleとかyahooとか他のサイトの認証にも使われるような大手は、基本全部HTTPSでやってほし気もするなぁw

2010-10-27 06:27:47
残りを読む(34)

コメント

Jun Окаdа @ojunn 2010年10月27日
Amazonはそんなに心配する必要はないはず。"1-click"を有効にしてたら知らないけど。 それにしても既存の問題に対して敷居が下がったとたんにうろたえるあたり微妙な感じ。わかるんだけど。
0
loop99 @loop99 2010年10月27日
購入のフローに関しては、確かパスワードの入力が定期的に働いていたのもありそこまで問題が強くはないかと思うのですが、よりソーシャルネットワーク的な要素の部分に関してちょい緩いかなと思ってます。まぁユーザビリティ的な考え方もあるので、なんとも言えませんが。個人的には、今回の件でうろたえるというよりは重い腰を上げなきゃなぁって思った感じですかね。
0
Re: ゼロから始めるAgile生活 @teramako 2010年10月28日
FYI: http://mozilla.jp/blog/entry/6036/ "Mozilla Japan ブログ - Firesheep に関する Mozilla セキュリティチームからのコメント"
0
loop99 @loop99 2010年10月30日
FYI: http://f.daccot.com/2010/10/26/4693/ "Firesheep怖いけど、いちいちSSL手動接続面倒くさい!をサポートするChrome拡張-KB SSL Enforcer"
0
loop99 @loop99 2010年10月31日
Chrome関連の情報があったので追記をいたしました。
0