• Todas las Comunidades
    • Todas las Comunidades
    • Foros
    • Ideas
    • Blogs
Avanzado

Not what you are looking for? Ask the experts!

Kudos0

Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

あなたがコミュニティにネットname「xxxxxx」でサインインしているとき、別にもうひとつブラウザを開いて、GoogleなりYahooで「xxxxxx」を検索してみてください。

「xxxxxx」のプロフィールを表示 - ノートン コミュニティ 日本版  というのがヒットし、これを開くと

ネットname、漢字氏名、メールアドレスが表示され、これら3つのセット情報が得られます。

一方、サインアウトして同じことをやると、ネットnameと最終投稿日だけの表示になります。

サイインしていなければ、3点セットの情報が表示されないことはいいのですが、問題なのはサインインしている場合もサインインしていない場合も、表示されるURLは同じになっています。 これから類推するに検索HitしたURLを開くと、スクリプトが実行されてサインイン中かどうかを調べて、サイインしているのであれば、ユーザー登録データベースを開いて内容を表示する、セキュリティ上脆弱なつくりになっていると推定します。

 ユーザー登録データベースでは不必要なのに重要な生年月日を登録させられていますが、現在のつくりではこのスクリプトに細工がなされてしまうと、生年月日を含めたユーザー登録データベースの内容を盗まれる恐れがあります。

従って、現状、ユーザーとしては、Symantec側にとっては年齢把握以外には本来何の必要性もないのですから、ウソの生年月日で登録するのが安全であるといえます。

 本来、ユーザー登録情報の閲覧はサインインした状態からメールアドレス変更などユーザー自身でデータのメンテを行うページを用意し、再度パスワードの入力を求めて、現状登録データはメール送信で知らせて、画面への現状登録内容表示は行わず、変更情報のみを入力させる作りりに改める、確認メールでの認証で初めて更新が実行されるようにするべきだと思います。

Respuestas

Kudos0

Re: Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

尚、前掲のサイイン中のネットname、漢字氏名、メールアドレスの3点セットの表示は80番ポートに平文で送られており、暗号化されていない。 やはり、httpsで暗号化して送られるべきものだろう。 同一URLからのスクリプト分岐で平文表示すべきデータでないのは自明であり、別ページにするべきだと、重ねて主張したい。

Kudos0

Re: Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

そういったことは、わざわざここで書かないほうがいいのでは?

余計に情報が拡散してしまいます。

「プライベートメッセージ」などがあるわけですから、担当者なりと直接やり取りすべきだと思います。このスレッドは削除すべきです。
Windows 10 pro 64bit / Firefox / NIS v.22
Kudos0

Re: Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

kawamoto76さん、ご提案ありがとうございます。

仰られているページはプロフィールページだと思いますが(私の場合、こちらになります)、これはログインしている本人にしか登録情報が表示されない仕組みになっております。従って、ログオフすると本人であれ登録情報が表示されないようになっています。様々なウェブサービスでよく見られる手法かと存じます。

また利用規約に、

ご利用者は、ご利用者が ユーザー登録フォームでシマンテックに提供するすべての情報は、真正かつ正確であることを表明し、保証します。ご利用者がユーザー登録フォームに虚偽、不正確または不完全な情報を記載した場合、シマンテックは、直ちにご利用者のアカウントを終了することができます。」

と明記してあります通り、虚偽の内容で登録は規約違反となります。規約違反を助長する内容の投稿も削除させて頂きます。

本コミュニティプラットフォームは、第三者サービスを利用して運営しておりますので、そちらの会社に暗号化について頂いたご提案を報告いたします。弊社では他社サービスを利用する際は、その会社とサービスに対して厳しいセキュリティチェックをかけており、それに合格した会社とサービスのみを利用しておりますので、安心してご利用頂ければ幸いです。

株式会社シマンテックノートン コミュニティ 日本版コミュニティマネージャー 高島
Kudos0

Re: Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

登録に生年月日を記載させなければならない必然性はないと思います。 個人情報を預からなければ、ないのですから盗み出される危険性はないのに、Symantecは何故に爆弾を抱えようとするのでしょうか?

 サイトの「荒らし」行為を防止するため、あるいは名誉毀損事件などで裁判所からアクセスログの提出を求められた場合、投稿者の特定のための照合アイテムとして、生年月日を記載させるという傾向があろうかとは思います。

 そうではなくて、一般的に顧客の情報交換の場を提供するサイトによく見られる傾向として、DMメールの送付リスト作成や将来のダウンロード販売などでの金銭授受の電子決済システム導入に際して、データを収集しようと考え、不要ならば活用しなければいいというようなセンスで安易に個人情報を収集しているケースが多いようです。 年齢別統計を取りたいというような趣旨であるのならば、月日までは不要で生年だけの入力で十分なのではないでしょうか。

 Norton製品のコミュニティに参加する人のほとんどは製品登録を行っているユーザーが大半だと思いますので、製品登録のユーザー番号を入力するだけで事足るように思います。 製品登録をしていなくてコミュニティに参加する人については、製品未登録ユーザーの区分を作って、登録ユーザーと分けて登録させるようにすればいいと思います。