SSLでなくなっていますがアナウンスはないのでしょうか?

SSLでなくなっていますがアナウンスはないのでしょうか?

- 知世 (ともよ) の投稿
返信数: 6

ここへの接続がSSLでなくなっているようですが
何かアナウンスはないのでしょうか?

特別保護しなければならない情報を扱っているわけではないうえ

もともといわゆるオレオレ証明書だったので

SSLでない運用のほうが適切ではあると思うのですが

アナウンスはないのでしょうか?

知世 (ともよ) への返信

Re: SSLでなくなっていますがアナウンスはないのでしょうか?

- Iseki Fumikazu の投稿

当サイトでは,ログインやパスワード変更などの機密性の高い通信のみHTTPSを使用しています.

他のページは開設当初からHTTPSは使用していません.

通常のページでHTTPSを使用していないのは,暗号化を行うような機密性の高い通信は無いという判断と,やはりHTTPS通信は処理が重いためです.

当サイトの認証局証明書をブラウザにインストールしている場合は,ログイン時の画面の切り替えが早く HTTPS を使用していないようにも見えますが,ちゃんとHTTPS を使用しております.
認証局証明書をアンインストールすると警告画面がでますので,それで確認できます.

 

 

Iseki Fumikazu への返信

Re: SSLでなくなっていますがアナウンスはないのでしょうか?

- Xpyoda Janus の投稿

サイト管理ご苦労様です。
ちょっと気になる点がありますのでコメントさせていただきます。

本サイトのCookieにはsecure属性が付いておらず、HTTPSでいったんログインした後、HTTPページに移動した後も、同じCookie内容(セッションID)を使用しています。このため、セッションハイジャックにより、ログインの乗っ取りが可能な状態なのかもしれません。
つまり、

  • ログイン時だけ、HTTPSで保護しても、HTTP移動後のCookieのセッションIDが漏れたら、盗聴可能な通信路だとなりすましが可能になる。
  • Cookieにsecure属性をつけて、HTTPS通信の時だけ、Cookieを送るようにすれば防げるけど、Webアプリケーションの作りに大きく影響を与えてしまうかもしれない。

ということで、ログイン時だけHTTPSにしただけだと、あんまり意味ないのかもしれないのでは?? ということです。セッションハイジャックの対策がされていればいくぶん軽減できるとは思いますが...。

第4章 セッション対策
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/304.html

経路のセキュリティと同時にセキュアなセッション管理を
http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html

小悪魔女子大生のサーバエンジニア日記  - 常時SSLとは?
https://co-akuma.directorz.jp/blog/2012/05/%E5%B8%B8%E6%99%82ssl%E3%81%A8%E3%81%AF%EF%BC%9F/

「小悪魔...」で言及されているFiresheep なんかは、けっこう恐ろしい。

セキュリティに関しては感心があるほうなので、ちょっと気になっただけで、うるさいこと言うつもりはありません。オープンなWifi環境などでログインしなければ、まあ.....問題ないでしょうから、そんなに気にはしてません....。
ただ、「ログインやパスワード変更などの機密性の高い通信のみHTTPSを使用した」から安全という訳でもない、ということが言いたかっただけです。

私の勝手な推測が、管理者様に無用なプレッシャーかけてしまわないか、ちょっと心配です www。

Xpyoda Janus への返信

Re: SSLでなくなっていますがアナウンスはないのでしょうか?

- Iseki Fumikazu の投稿

こんにちは.

ご指摘ありがとうございます.

基本的なスタンスとしては,HTTPSで守っているのはユーザのパスワードのみです.Cookie等は考慮していません.

正直言って,サイト全体のセキュリティを運営側で保証するのは非常に困難ですので,サイト全体のセキュリティに関しては Moodle 自体のセキュリティ機能にお任せです.

Moodle のセッションハイジャックの可能性については Moodle のサイトを参照してください.http://moodle.org

........

と,ここまで書いて,やはり不安になったので自分でも調べましたが・・・

ダメダメです(こちらが),セッションハイジャックの可能性があるバージョンでした.orz
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002662.html

今晩(11/9)辺りに,至急 Moodle を最新バージョンアップします.

ありがとうございました.

 

追記:OpenSim用サポートプラグイン Modlos, 各種申請用プラグイン apply につきましてこちらで開発したものですので,これらのプラグインに関するバグレポート・セキュリティレポート等はここでも受け付可能です.

Iseki Fumikazu への返信

Re: SSLでなくなっていますがアナウンスはないのでしょうか?

- Iseki Fumikazu の投稿

え~と.でも,よくよく考えれば ヨーダさんの仰るとおり 全部 HTTPS の方が良いのかな?

試しにやってみますか.パフォーマンスにどれくらい影響がでるか見てみたいし.

Iseki Fumikazu への返信

Re: SSLでなくなっていますがアナウンスはないのでしょうか?

- Iseki Fumikazu の投稿

HTTPSにしてみましたが,それほど速度が落ちるようでもありませんので,このままHTTPSの設定を維持します.

一方,Viewer のログイン画面とModlosがサポートするヘルパースクリプト群に影響があるようですので,この問題が解決するまで HTTP も使用できるようにしておきます.

ただ,Viewer のログイン画面の問題(HTTPSだとページが表示されない) に関しては一見するとViewer内部の問題のような印象もありました(第一印象ですので本当の所はどうなのかは全く分りません).

Iseki Fumikazu への返信

Re: SSLでなくなっていますがアナウンスはないのでしょうか?

- Iseki Fumikazu の投稿

>> 一方,Viewer のログイン画面とModlosがサポートするヘルパースクリプト群に影響があるようです

Viewer に認証局の証明書を入れないと駄目みたいですね.何処に設定すればいいのかは分りますが,個々のユーザにこれをやってもらいのは敷居が高いでしょうね.

う~ん.どうしよう.