◇◆ もうちょっとここで 暇つぶし。 ◆◇

 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  • at --:--
※2011年9月現在、pixivでログイン認証のSSL対応は実施されています。”SSL(https)はこちら”のリンクからログインすれば、パスワードは暗号化されてpixivサーバに送信されるはずです。ただ暗号化されないログインボタンが先にあって、自分で注意してSSLを使わないと暗号化されません。できればGmailのように常にSSLを使うようにしてほしいところですが・・。とりあえず以下は過去の内容です。

模写2pixivを利用する場合、パスワードはpixiv専用にして、他で使うパスワードと同じものは使わないことをお勧めする。

さらに、「次回から自動的にログイン」も有効にして、極力パスワードを入力しないようにすること。

なぜなら、pixivはログイン認証が暗号化されないので、悪意の第三者が通信をキャプチャすれば、他人のパスワードを容易に入手できそうだから。

働いてた頃の知識をフル活用して確認した内容を述べてみよう。ちょっとマニアックな話だ。

暗号化とは、SSL(https)通信のことである。
以前から、pixivはなんでSSL対応しないんだろう?と気にはなっていた。面倒くさいからかな?

mixiなら、ログイン画面に『SSL(https)はこちら』というリンクがあるし、
GmailやYahoo!メールでは、ログイン認証は最初からSSLを使うようになっている。
他に使ったことがあるサービスでも似たような感じだ。

しかしpixivでは、「https://www.pixiv.net/」は使えないし、SSLでログインするための説明やリンク等は見当たらない。ログイン画面のHTMLソースを見ても、単純なFORM POSTメソッドを使っているだけで、SSL(https)を使うようには見えない。

試しに、Wiresharkで自分のログイン時の通信をキャプチャしてみると、やはりパスワードがモロ見えだ。

つまり、pixivでログインする時のパスワードは、暗号化されないままpixivサーバまで届くわけで、その経路上のどこかでキャプチャされたら、丸わかりのはずだ。まあ、僕は他人の通信をキャプチャする具体的な方法までは知らないけど。ひょっとしたら、最近は大丈夫なのかな?

いや、少なくとも、プロバイダか、pixiv内に悪意を持った人がいたら、他人のpixivパスワードを簡単に入手できてしまうんじゃないか?ルータやゲートウェイの通信をキャプチャできるような人も同じだ。パケットのキャプチャなんて、Webネットワーク系のSEや開発経験者なら朝飯前だ。

とりあえず僕の知識では、毎回パスワードを平文で送りつけるなんて、恐ろしくてやっとれん。

しょうがないので「次回から自動的にログイン」を有効にして、できるだけログイン認証をせずに、(ブラウザを閉じても)セッションを維持したまま使う。

ん?まさか、セッション保持クッキーの仕様がボロくてパスワード漏洩することはないよな・・?
念のためクッキーもキャプチャしてみたら、サーバから送られてくるヘッダに、こんなのがあった。

 Set-Cookie: pixiv=user_id%3Dxxx%26user_pass%3Dxxx%26user_mail_address%3Dxxx;
           ↓URLデコード↓
 Set-Cookie: pixiv=user_id=xxx&user_pass=xxx&user_mail_address=xxx;

ちょ、なにこの「user_pass=xxx」って?パスワード??
その後に続く文字列(xxxは実際は32文字)が謎だが、まさか、この文字列からパスワードを
取り出せたりするような、マヌケな仕様ではないよな?ハッシュ値か何かかな・・?
試しにMD5ハッシュ値を出してみたら、当たりだった。

 user_id=ユーザID&user_pass=パスワードMD5ハッシュ&user_mail_address=メールアドレスMD5ハッシュ

こんな文字列が送受信されている。
うーむ、クッキーって、ハッシュ値とは言え、こんなアカウント情報をモロに入れとくもんだっけ?セッション識別子だけを送受信して、サーバ内部でアカウント情報に紐付けるんだと思ってたけど。まあ、MD5ハッシュなら一応は大丈夫か・・。

あとは、せめてログイン認証の通信だけでもSSL化して欲しいけどなー。
今のところ、「pixivのパスワードはダダ漏れだ」と思いながら使った方がいいかも。
Comment

 / ?

いいなあ。後ろ姿。。。
かなりいい。
でも、前向きもよろしく。

  • #-
  • 2009.10.24 Sat 13:11
  • [URL]
  • [Edit]

 / しみた(つд`)

書いてなかったけど、これも写真の模写でした。
とりあえずいろいろ模写してみようかと。。

  • #-
  • 2009.10.25 Sun 19:25
  • [URL]
  • [Edit]






(編集・削除・トリップ用)

管理者にだけ表示を許可

Trackback

http://smtz.blog10.fc2.com/tb.php/131-cba24969

この記事にトラックバック(FC2Blog User)

今日の遺言 from 北斗の拳

最近の記事+コメント

月別アーカイブ

12  06  05  04  05  04  03  01  12  11  10  09  07  06  01  12  11  10  09  08  07  06  04  03 

Ads by Google

プロフィール

しみた(つд`)

Author:しみた(つд`)
性別: 男
年齢: 36歳

働かずに生きていきたい。

管理者にメール

名前
メアド
件名
本文:

copyright © しみた(つд`) all rights reserved.

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。