グーグル、クッキーの安全強化のためSSLを変更 - (page 2)

文:Elinor Mills(CNET News.com) 翻訳校正:編集部2008年08月26日 07時00分

 CNET Newsがコメントを求めたところ、MicrosoftとYahooの関係者は、コメントの準備をしているところだと説明した。Facebook関係者からは、電子メールでも電話でも返答は得られなかった。

 Perry氏によると、Amazonは決済に関連した通信には暗号化を用いているが、購入履歴やレコメンデーションなどには用いていないという。Amazonの関係者は、セキュリティ対策についてはコメントしない方針だと回答した。

 Perry氏は当初、クッキーの乗っ取りを自動化する自身のエクスプロイトツールを8月24日に公開する計画だった。Perry氏は先ごろラスベガスで開催された「DEFCON 16」で、この脆弱性に関して講演した。Perry氏によると、同じ問題をターゲットにした別のエクスプロイトがすでに世の中に出回っているという。

 しかし、Perry氏は、Googleと話し合いを持った後、ツールのリリースを無期限に延期することにしたと述べた。

 Perry氏によると、Googleは主要なウェブサイトのうち、ウェブサイトの全ての通信を自動で暗号化するオプションを提供している唯一のサイトで、ログインページだけでなく、クッキーの「セキュア」プロパティを設定できるという。

 GoogleはこのオプションをGmailの消費者ユーザーだけでなく、Google Appsを利用する企業ユーザーにも展開する。同社はすでにGoogle Apps Premier Editionに同オプションを導入し、「Google Docs」「Google Calendar」などのサイトとの通信を暗号化した。

 また、ユーザーが自ら設定を変更しなくても、「https://gmail.google.com」に初めてログインしたときから、通信を「常に暗号化」するように設定を変更する可能性もあると、Perry氏は述べる。

 脆弱性の影響を受けるのは、セキュリティの施されていないワイヤレスネットワークを利用している場合で、攻撃者が同時に同じネットワークを使用している必要がある。しかし、先ごろ発見されたDNSシステムの脆弱性実証コードなど、ほかの攻撃手法と組み合わせれば、別のネットワークを利用している人々に影響を及ぼすことも可能とPerry氏は言う。DNS脆弱性のエクスプロイトは、ウェブ利用者の誰もが犠牲になる可能性があり、特別に加工されたDSLまたはケーブルモデムが用いられれば、より複雑な攻撃の犠牲になる危険性がある。DNS脆弱性もDEFCONでのテーマだった。

 Perry氏は問題に関する詳細な情報や計画をブログで公開している。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]