プードルも結構だけど、クッキーにセキュア付いてますか?

まとめました。
33
Hiromitsu Takagi @HiromitsuTakagi

あなたの利用サイト、クッキーにセキュア付いてます? Safariで確認 ①ログインし、登録情報変更の画面へ行き、https://であることを確認 ③コマンド+オプション+Iで「Webインスペクタ」を表示 ④リソースでcookieを選ぶ ⑤「保護」にチェック有りが1個以上あるか

2014-12-14 23:35:37

ナカムラッコ @nakamurakko

ANAから「パスワード変更するためにログインしてね」って連絡来てるけど、ログインIDとパスワードはSSLで暗号化していないトップページで入力する事になっている…

2014-09-05 12:09:06
くろにゃ/JA1 🍡🍨🐈✈️🚄✨🌟☀💫️🐾🐱🍼🎗💙💘 @kuro_central

それ言ったらANAもIDとパスワード突っ込むページが非SSLなのでデータ暗号化されずにIDとパスワードをネットに流してるのでアレ…航空会社に有識者いないの?

2014-09-30 11:56:20
Nobutoshi Ogata @nobu666

いまさら気づいたけどANAマイレージクラブのログイン、SSLじゃねーのかよ

2014-11-12 17:26:48
ぽてとさん @_pot8os

JALはトップページからEV SSL使ってるけどANAはログインフォームからSSLでトップページはEVどころか暗号化も無し。無能。

2014-12-13 13:48:37
Satoshi Kato @katoSat

ジワジワ来る講演だな。ああ「取り組み中」なのか。”ANAグループ全体の「セキュリティ・センター」としての取り組み - ANAグループにおけるセキュリティ対策 - “ itmedia.smartseminar.jp/public/applica…

2014-12-08 11:07:09
Hiromitsu Takagi @HiromitsuTakagi

トップページのパスワード入力画面がhttps://になっておらず、パスワードが暗号化されずに送信されるのを防止していない。ログイン後はトップページに行くとhttps://に強制リダイレクトされるので、初めからできることやっていない。 pic.twitter.com/sK72ivzhCJ

2014-12-13 16:00:42
拡大
Hiromitsu Takagi @HiromitsuTakagi

しかも、cookieの発行が、secure指定したものが一個もない。ログイン中なのに。基本的なWebアプリケーション脆弱性の知識がない(情報処理技術者試験で不合格のレベル)ばかりか、ろくな脆弱性検査も受けていないことの証左だろう。 pic.twitter.com/FdDM55QV47

2014-12-13 16:15:14
拡大
Web猫 @webdevjp

こういうときは、わざと未入力でログインボタン押す。そうすると「再入力して下さい」って画面はhttpsになってるサイトが多いから、そこで初めて入力するようにしてます。 >RT ANAトップページのパスワード入力画面がhttps://になってない件

2014-12-13 17:57:57
Web猫 @webdevjp

ただ cookieのsecure属性は・・ついててほしい・・

2014-12-13 17:58:13

Hiromitsu Takagi @HiromitsuTakagi

POODLE対応でSSL 3.0停止と告知するサイトが続出しているが、おまえ、cookieにsecure属性付けてないやないかと。アホかと。

2014-12-14 12:47:16
徳丸 浩 @ockeghem

CookieのSecure属性もれ脆弱性にもPoodleみたいなニックネームが必要だな > RT

2014-12-14 16:01:04
徳丸 浩 @ockeghem

(POODLEで)32文字のCookieの値を取得することを考えると、おおよそ8,000回程度のリクエストをクライアントから繰り返し送らせる必要があります<Cookieのセキュア属性がなければ1回のリクエストで取得できるよ developers.mobage.jp/blog/poodle

2014-12-14 17:28:08
日経電子版広報部 @webkanpr

通信内容の保護に使われている暗号化方式「SSL 3.0」について深刻な脆弱性が発見され、日経電子版は別方式に切り替えています。通常、読者の皆さまに影響はありませんが、古いブラウザーやブラウザーの設定によっては、問題が出ることがあります。nikkei.com/topic/20141202…

2014-12-03 08:38:27
Hiromitsu Takagi @HiromitsuTakagi

おっと、こんにちわ〜しようと思ったら、nikkei.comsecure属性が付いていた。偉いぞ。 pic.twitter.com/OMgJ0BXtYU

2014-12-14 18:54:31
拡大
Hiromitsu Takagi @HiromitsuTakagi

ここは12年前に講演に呼ばれたときに指摘しといたからね。 pic.twitter.com/h0fVG8zfAR

2014-12-14 19:17:21
拡大
eoサポート @eosupport

eoサポート担当です。SSL 3.0に、通信の一部が第三者に解読可能となる深刻な脆弱性が発見された為、2014年11月20日より弊社サービスにおけるSSL 3.0の通信を停止させていただきました。(続く)

2014-11-21 09:43:15
eoサポート @eosupport

(続き)それに伴い古いバージョンのブラウザをご利用の場合、標準設定ではページ表示不可となる為、早急に最新版に更新して頂きますようお願い申し上げます。また、一部携帯電話でもページが表示できなくなります。詳細はこちら bit.ly/ZYuma8 をご参照ください。

2014-11-21 09:43:52
Hiromitsu Takagi @HiromitsuTakagi

おお、eoも、secureクッキーになっているぞ。(ログイン前で確認しただけなので、確かではないが。) pic.twitter.com/vpe0muHwve

2014-12-14 19:29:53
拡大
Cybertrust_SSL @Cybertrust_SSL

SSL3.0を無効にする設定はお済ですか SSL 3.0 の脆弱性「POODLE」の悪用防止のため、サーバーもしくはSSL接続を行うクライアント環境にて、SSL3.0を無効とする設定変更を推奨します。 ow.ly/Dry5z #サイバートラスト

2014-11-13 11:50:14
ムームー @sp_Ms_clarett_

数日前からニコニコ動画(ニコ動)にログインできない、って人はInternet Explorerの設定を下のように変更するとみれるようになるかもしれません。参考までに!→ blog.nicovideo.jp/niconews/ni049… pic.twitter.com/TnS1xcnHHH

2014-12-14 10:26:49
拡大
Hiromitsu Takagi @HiromitsuTakagi

おや、ニコニコ動画が一丁前にSSL 3.0を停止しているが、肝心の画面で、cookieにsecure属性がないね。 blog.nicovideo.jp/niconews/ni049… pic.twitter.com/CiGU0Zx4bQ

2014-12-14 20:22:26
拡大
残りを読む(17)

コメント

コメントがまだありません。感想を最初に伝えてみませんか?