DMM のセキュリティホールが一つ直った話
去年IPA経由でDMMに申請していたセキュリティホールが1つ修正されたようです。
ですが、セキュリティホールの内容や修正については発表しないそうなので、ざっくりと解説します。
・パスワードを含まない、Cookieに永続的なセッションデータが含まれているのでそれだけで、ログインすることができ、あまつさえ元パスワードをしらなくても、新しいパスワードに変更できてしまう脆弱性。
・dmm.com と dmm.co.jp 間で セッションが切れずにセッションが持続できてしまう脆弱性。
この2つが気になったので1つの脆弱性として報告していました ・ω・
今年の5月ごろ修正完了の連絡は来たのですが、脆弱性の修正の発表について音沙汰がなかったので、問い合わせてみたところ、発表は行わないとのことでした(まる)
あと一つ、脆弱性があるのですが、そっちは来年まで直らないそうです(いいのかー)
Translate
Comments