seraphyの日記

日記というよりは過去を振り返るときのための単なる備忘録

mixi.jpはボロいか?

今日、足跡にあった「めい」という人にジャンプすると、最終ログインが3日以上となっている。ログインせずに足跡を残すようなハッキング方法でもあるのか!?
しかも、プロフィールから外部ブログへ誘導しているし。
これはスパム・トラックバックの変種のようなものかな。

どうも、mixi.jpの構造が、かなりボロい感じは否めない。
ブラウザに送られるセッションキーを見てみると、
BF_SESSION=9999999_????????????????????????????????_0
な感じで、これはブラウザセッションを変えても変化なかった。
ということは、セッションジャックは、かなり容易そうだということだ。
後ろの0か1は、1の場合は期限付きクッキーの場合である。

ちなみに、9999999のところは、アカウント番号。

期限付きクッキーにした場合はmixi.jpはログイン処理をしないので、実は

http://mixi.jp/show_friend.pl?id=9999999

のアーザアカウント番号を変えるだけで、つぎつぎと足跡を残してゆけるのかもしれない。

さらに、クッキーにアカウントIDとマジックナンバーとの部分を2つ分けているということは、それぞれ独立して意味をもっている可能性がある、ということである。
これは偽装するのも容易な可能性がありそうだ。

もっとも、mixi.jpがセキュリティをほとんど考慮していないのはSSLを使っていないことからもわかる。
パスワードは平文のまま、ネットワーク管理者とかが簡単に見れる状況になっている。
yahooとかもSSLを使わないでパスワードを入力させることができるが、yahooの場合はパスワードはJavaScriptによってソルトと混合されたMD5ハッシュ値として送信されるため、仮に通信内容を見られたとしてもパスワードを逆算することはほぼ無理といってよい。
しかし、mixi.jpならば通信内容が見れれば、ただちにパスワードが丸見えということだ。

うーん、かなりボロそうな感じ。

まあ、公開されている日記を見ることしかできないので、金銭的なやり取り等が発生するわけでもなく実害はないと踏んでいるのだろうけどね。