[PHP-users 23888] Re: 別ページのアイフレーム内での動作について

[SHIRAFU Makoto]

こんにちは、しらふです。

Sun, 12 Dec 2004 16:41:00 +0900に
NAKAMURA Takeshi <1yen ＠ sh.rim.or.jp> さんから頂いた、
"[PHP-users 23883] Re: 別ページのアイフレーム内での動作について"へのお返事です。

> > 　送信データが正常値であるか異常値であるか、検証/検出方法はどう
> > するのでしょう?
> 
>  通常行うチェック以上は必要ないでしょう。
> (同じサイト内で処理する場合でも、出鱈目な値を送ることは可能ですから
>  システムとして正しい値であれば、それが 商品のボタンを押して送られた
>  データであれ、HTML を書いて送られた値であれ気にしないということです)
　これは、問題ありなのでは?
「カートセッション→hidden」という一般的なカート処理では存在しな
い処理が存在するにもかかわらず、その部分のチェック処理をしないと
いうのは問題があるのではないでしょうか?

　私が、指摘しているのは、仲村さんが提案された「カートセッショ
ン→hidden」という処理の脆弱性です。
　この部分は、一般的なカートで行われている「操作→カートセッショ
ンに反映」をユーザが行うか、機械的に行うかとはまったく違う正当
性のチェックが必要になるような気がします。


> > 　お客さんが気付かない場所で、セキュリティ的に脆弱な処理が行わ
> > れていることが一番の問題だと思います。
> >
> > 　セッションの情報をhiddenで送信するとして、第三者がその情報を
> > snifferしていた場合・・・
> > 　お客さんが知らないところで、悪意を持ったデータの送信を行うこ
> > とは可能ですよね?
> 
>  単一のサイトで行っていても sniff されれば同じでしょうし、
> その為に通信路を暗号化するのではないでしょうか。
> 通信路の暗号化をしなければ、サイトをまたがるかどうかに関係なく
> そういうことが発生する可能性は無くならないでしょう。
　単一のサイトでのセッションの場合は、サーバが十分に堅牢であり、
かつサーバとユーザ環境との間がそれなりに堅牢な暗号で通信が行われ
ていれば、それなりの安全性は保証されると思います。
　そして、この処理は基本的にユーザが確認可能な範囲で行われている
と思います。
(実際には、カード決済やらで別の通信が発生しているかもしれません
が…)

　しかし、中村さんが提案された方法だと、ユーザの目の届かない部
分で、別の通信が行われており、その通信経路が堅牢であるか否かが
ユーザには判断が付かないという部分が特に問題だと思います。

　仮に、「カートセッション→hidden」という処理を行う通信経路が
堅牢であったとしても、ユーザの操作情報(含む個人情報)が、自分が
承諾し操作を行ったドメインとは、別のドメインに"勝手に"飛ばされ
るというのはあまり良い方法には思えないのですが、、、
# このような通販サイトの、プライバシーポリシーとか、「訪問販売
# 法による通信販売広告の表示義務事項」とかがどういうになるのか
# 興味を持ちますが…



　そして、(「カートセッション→hidden」処理を行う部分の通信経
路の「暗号化をする」という説明がなされていない状態で)その部分
の堅牢性がわからない状態で、

> >> お客さんの買う商品ですから書き換えができても問題ないかなと思います。

というのは、ちょっと乱暴だなぁ…という印象を持ちました。


+--------------------------------------------------------------------+
| From         : SHIRAFU Makoto                                      |
| E-mail       : escvel ＠ terra.dti.ne.jp                              |
| Web Site     : http://www.terra.dti.ne.jp/~escvel/                 |
| Fingerprint  : D336 5CE0 6D5E 106A 47BF 5FB7 739B B0FE 240B EEB7   |
+--------------------------------------------------------------------+