DMM の 非SSL通信の 話 その後
あ、ありのまま今起こった事を話すぜ!
メールのそのまま貼り付けるわけにいかないので、概要です ・ω・
私「DMMに 非SSLでセッションを垂れ流すので、ハイジャックできる脆弱性があります」
IPA「受理しました。お待ちください」
IPA「連絡された内容に、2つの脆弱性が確認されましたので2つに分けても構いませんか?」
私「はい」
IPA「A. セッション管理の脆弱性 B. 非SSLの脆弱性です」
私「はい」
IPA「審査の結果Bは脆弱性とは言えないことになりました」
私「!? 脆弱性ではないのなら、分けなくてよかったのでは?」
【注意】艦これなど、DMM のゲームのアプリTokenがフリーWifiなどで簡単に盗聴・ハイジャックされる件
そもそも両方の条件がないとセッションハイジャックできないのですが…
訳が分からないよ ・ω・
彼ら的には「セッション管理の脆弱性は指摘できるけど非SSL自体は指摘はできないから」ということでは?
それこそ両方の条件がそろわないとハイジャックされないなら、どうするかはともかく「セッション管理の脆弱性」だけでも改善すれば一応はOKになるはずですし・・・(暗号通信なしにセッション管理の堅牢化ってハードル高い気もしますが)
彼ら的には「セッション管理の脆弱性は指摘できるけど非SSL自体は指摘はできないから」ということでは?
それこそ両方の条件がそろわないとハイジャックされないなら、どうするかはともかく「セッション管理の脆弱性」だけでも改善すれば一応はOKになるはずですし・・・(暗号通信なしにセッション管理の堅牢化ってハードル高い気もしますが)
それはわかるんですが、あちらが、2つ脆弱性があるのでとわけておきながら、
3ケ月も経って、2つ目は脆弱性ではないですと言ってきたのが意味が分からないです・ω・
それはわかるんですが、あちらが、2つ脆弱性があるのでとわけておきながら、
3ケ月も経って、2つ目は脆弱性ではないですと言ってきたのが意味が分からないです・ω・