楽天の通販システムのオマヌケな点とセキュリティホールについて
楽天の通販で買い物しようかと思って、ログインしようと思ったらパスワード忘れまして
で、パスワードリマインダー(パスワード忘れた)機能使ったら、あまりのオマヌケぶりに失笑したので、技術的なメモ
URLはここ
https://member.id.rakuten.co.jp/rms/nid/upkfwd
概して、一見かなり丁寧に作られていますね
でも、穴があるんだな(笑
この画面でメールを出すと、送信先にメールが届きURLを開けるとというよくある仕組み
ただ、送信されたURLを開くとまずメールアドレスを聞かれる仕組みになっている
これは、確認URL自身が漏洩した場合のことを考えているわけで、通常URLは数十分から数時間で無効になる、その数時間もできるだけセキュアにしようという、かなりセキュアなシステムなわけだね
で、メールアドレスを入れると、確認画面
これが、ちょっと困ったちゃんなんですよね
パスワードがコピペ出来ない
まあ、昔はよくあったタイプで(今も当然あるんだけど)パスワードを二箇所も入れさせてるのにコピペ出来ないと、僕が使っているパスワードツールが使用できない
僕の場合、自作のパスワードツールで、強固なパスワードを自動作成しているのでこれを使いたいわけだがね
で、そういう場合登録フォームのHTMLを直接触って、パスワードを注入するわけ
で、HTMLをChromeを使って直接書き換えるわけなんだが、この楽天のシステムは改ざん防止のプログラムが入ってやがる
全くもってイラン世話だ
HTMLを修正しても、Javascriptで直ちに元に戻る(らしい)
具体的には、右クリックを無効にして、コピペキーを無効にしているHTMLを修正すると、ゾンビみたいにすぐ元に戻るわけだ
この発想はすごいな
作った人はある意味賢い、Javascriptを使いこなしてる
しかし、この類のガードは実は意味が無いのでその人はアホだ
実際、ちょいと工夫するとすぐそのガードプログラムを回避できた
その間、1分
いや、一分も時間取らせやがって、敵ながらあっぱれだね
ここまではまだいい
後がいけない
正常にパスワードを変更した後、再度一度使ったURLでリマインダー画面にはいったらすんなり入れた
そこまでセキュリティに気にしているのであれば、用済みのURLは破棄すべき
僕は、セキュリティホールと言ってもいいぐらいのミスだと思うけどね
セキュリティというのは、広く浅く対策しなければならない
なぜなら、ある一部分をどんなに深く対策しても、手薄な所を責められたら、結局意味を成さないから
そういった意味で、セキュアなプログラムというものは他のプログラムとは異質といえる
セキュリティとは利便性とトレードオフする
その点も忘れてはいけない
そういったことを考えると、この件とっても小さなことだと思うかもしれないが、セキュリティポリシー的にNGだと思うわけだね
要するに、どうでもいいところを一生懸命対策し、肝心な所が抜ける
お間抜けだと思うわけです
今朝はこんな所で、ちょっとえらそーに言い過ぎたかな (^m^)ぷ
連休明けだからいいんだよ、(^m^)ぷ