Feb
20th
Sun
20th
recommuni の XSS と情報漏洩についてのツッコミ
クレジットカード情報及びパスワードについては、暗号化されており本人にも見えなくなっているため情報の漏洩はない仕組みになっております。
と言う recommuni の告知に対して、カード情報はそもそも復号可能じゃないと駄目だろ。なにいってんの? と言う gtk 氏のツッコミ。これに対して recommuni 内の日記で反応があり
カード情報は、秘密鍵を使ったブロック暗号化方式でエンコードされた上でDBに収納され、オーソライズ及びチャージの度にデコードされ、処理されます。....
だそうだ。当然、復号には秘密鍵を利用する訳なのだが、そもそも秘密鍵が漏洩してない保証はどこかにあるのだろうか。ともあれクレジットカード情報はしばらく登録したくない気分だが、登録しないといまいち出来ることが少ないな。
ちなみにパスワードも一方向暗号化だろうが、漏れた時点で総当たり食らって解読される危険性はなんぼでもあるので、少なくとも「情報漏洩するような脆弱性がまだあるかもしれないと疑われるようなサイト」では、他で使ってるような文字列は使わない方が良さげ。
秘密鍵を使っているということで、バレる手がかりになる要素技術をなるべく出さない方がいいんじゃないかなぁなんて思っているので、秘密と言うことにさせてください。ただ、結構凝ってます。
“結構凝ってます” とか言われても、あんな XSS を放置していたサイトに信頼を置ける人がどれだけいるのかと…
