トップ «前の日記(2003-10-29) 最新 次の日記(2003-11-04)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-10-30

_ [defence][tool] AppShield

先日高木先生と話す機会があり、cookie の secure 属性についてお話しした。その中で、AppShield はどうなんだろう、という話題が出たが、よく知らなかったので後日調べてみた。

まず、AppShield で守られてるサイトで HTTPS を提供しているサイトを探してみたら、Sanctum(AppShield の開発元)のサイトがそうだった。 https://www.sanctuminc.com/ にアクセスすると、Cookie が発行された。2年前のセキュリティスタジアムでどなたかが見つけていたが、この ASINFO が AppShield が発行する Cookie だ。
プライバシーの警告ウィンドウ

「セキュリティ保護」の部分が「いいえ」になっているので、secure 属性ではない cookie が発行されてることがわかる。その後 http://www.sanctuminc.com/ にアクセスすると、当然ながらこの cookie が送信されていた。
他2サイトでも AppShield かつ HTTPS なサイトを見つけたので見てみたが同様の動作をしていた。

これについて、AppShield の国内ディストリビューターである日立情報システムズさんに問い合わせてみた。

  1. AppShield で何らかの設定をすれば secure 属性の cookie が発行されるのでしょうか?
  2. 設定できないという場合、修正される予定などはあるのでしょうか。

AppShield への回答
率直に申し上げて弊社としては現状難しい回答となります。
Q1.AppShield で何らかの設定をすれば secure 属性の cookie が発行されるのでしょうか?
A1.発行する設定はございません。
   1)アプリケーション的な安全性を高めるのはcookieをsecure 属性にセットする必要があります。
     AppShieldはその部分に対する隠匿の対応はしませんが、改竄のチェックは行います。
   2)AppShield自身がSecure属性を持っていない事が直接的な脆弱性にはならないと考えます。
Q2.設定できないという場合、修正される予定などはあるのでしょうか。
A2.現バージョンにおいて修正の予定はございません。
   但し、次期バージョンにおいて対策を予定しています。

確かに AppShield の cookie だけ奪えばセッションを乗っ取れるかというとそうではなく、アクセスする URL やパラメータ値も奪わなければいけなく、こちらは HTTPS で保護されているのでほぼ問題ないだろう。

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析