« 今日のAmazon物資(2007/08/23) | Main | 今日の夕飯(2007/08/25) »

2007.08.25

PSU課金システムで利用者情報漏洩の脆弱性?

ファンタシースターユニバースのメール情報で知ったのですが、「課金システムにおけるセキュリティ上の不備について」という情報が載りました。
どうもログインできた利用者のアクセス権で別人の情報が読めた、ということなのですが、

  • 利用者ID等をhidden、またはQUERY_STRINGで引き渡ししていた
  • セッション管理でshared/staticな変数に情報を保存していた

あたりのどちらかっぽいのですが、後者は確率論ですから、100%ヒットする設計ミスなら前者の可能性がありそうです。
ログが正常に残っていれば調査は可能でしょうが、ログ周りの運用は結構アバウトだったりするので最悪漏れたことに気づかない可能性もありそうです。

Webアプリケーションはこのへんの設計が重要なところですから、IPAのセキュア・プログラミング講座などをチェックするのも手ですね。

今日の夕飯:エキナカ カレー(笑)

|

« 今日のAmazon物資(2007/08/23) | Main | 今日の夕飯(2007/08/25) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27186/16228267

Listed below are links to weblogs that reference PSU課金システムで利用者情報漏洩の脆弱性?:

« 今日のAmazon物資(2007/08/23) | Main | 今日の夕飯(2007/08/25) »