SSブログのセキュリティに関して

　お久しぶりでございます！もはやblogなんてしていたんだなあという遠い過去の記憶になっていて、blogを書くのもスムーズに行かなくなってしまった今日この頃という感じですね！

　So-net blogからSSブログへの移行期限が今月末までということは把握はしていたので、まあ6月末までにやっておけばいいかとログインページや移行案内ページをブラウザのタブで開いたまま放置などをしていて、結局6月末になったわけですが・・・

 

　さてこのSSブログ、移行の際のセキュリティに関してちょっと気になった点があるのでそれについて書いていきます。

 

 

 

 

 

 

 

 

 

 

 

 

　まず一つ目、SSブログへの以降の際、メールアドレスとパスワードを入力し、SSブログの利用規約に同意するチェックボックスにチェックを入れなる必要があったのですが、利用規約に同意する旨のチェックボックスの上に利用規約が表示されるとおぼしきインラインフレームがありましたが、その内には何故か規約も何もな～んも表示されていない！（ぇ

 

　使っていたブラウザがFirefoxの派生ブラウザでマイナーだったのが問題かなとも思ったのですが、試しにGoogle Chrome(83.0.4103.116)でアクセスして見るも、こちらでもダメ！

　えぇ・・・と思いつつ、しょうがないので規約のページを個別に開いて確認ということで何とか解決（といっていいのかどうなのか）

 

　ちなみに新規開設ページではどうなのかというのを後で調べてみましたが、こちらは問題なく表示されていました。

 

　アクセスが混み合っていたのかとも思いましたが、アクセスしたのは今日の深夜（2時は過ぎていたと思います）なので、こんな時間に混み合っているようではという話でもありますし、新規開設ページを見る限りiframeタグを使っているようなので、アクセスできなかったら何らかのHTTPステータスコードとかも出そうなものなのでよくわかりませんね。

　考えられるとしたら新規登録と移行では規約自体が別で、それによって別の規約のページから引っ張ってくるようにしていたものの、移行用登録Webページ向けの規約ページのファイルが（更新などの理由で）全くの空だったとか、そういうのならまあ考えられなくもないですが・・・

 

　仮に規約が異なるとしたら、Google検索して見つけた規約ページの規約をを読んでからチェックボックスにチェックしたんですが、普通によろしくない事態なわけで・・・

 

 

　いずれにしろもう移行を済ませてしまってふたたび確認ができなくなってしまったので、まだ移行していない人が試さない限りは迷宮入りですね。

 

 

 

　さて二つ目、これは他の数多のサービスにも言えることなんですが、
ログインIDをメールアドレスで設定させるのやめてくれませんかね？

 

 

　何が問題かって、メールアドレスが漏洩すると普通にスパムメールが山のように来るようになって大変迷惑になる（かつてDropboxでこれをやられたので

Dropboxはクソ！

）というのがひとつと、メールアドレス自体に名前が含まれるなどの場合は個人情報になりうるものなので、これをIDにするのは大変問題があると思っています。

　メールアドレスに名前がある、名前自体がなくとも他に取得した情報と組み合わせれば個人が特定できる、といった場合は法規上の個人情報となりますし、何ならメールアドレスに病歴や信条や前科などを入力するヤバい人がいた場合は要配慮個人情報になりますから、流出した場合に補償額が高額になったりで面倒な話にならないとも限りません。

 

　こういった問題があるので、事業者、利用者双方にとってIDをメールアドレスにするのはメリットがないんじゃないのかなと思っています。まあGAFAすらアレですが、この風潮はいつになったらなくなるんでしょうかね。

 

 

 

　さて3点目、パスワードに関してですが、パスワードを設定する入力欄にパスワードで使える文字の種類や文字数を事前に書いてもらえませんかね？

 

　基本的な話として、より強固なパスワードというのは「文字数がより長く、使う文字の種類が多い」というのがありますから、とりあえず長めで記号なども色々含んだパスワードを入力してみるんですよ。

 

　で、たいてい弾かれる！

 

 

　特定の文字を弾く時点で低レベルなシステムですが（ほとんどのWebサービスでそうですが）、それならそれで事前に使える文字を書いてほしいんですよね。

　ユーザ側としてはできるだけ強固なパスワードにしたいわけで、できれば記号も入れたいわけですから、これが書かれていない場合
ほぼ確実に二度手間
になるので面倒なんですよね。

　最初から書かれていれば該当する文字しか使わないように設定してすんなり完了となるので、この辺もう少し考えてほしいです。

 

↑これをログインエラー後でなく、最初から書いておいてほしい！

 

 

 

　そして最後の問題点。これまたパスワードに関してです。
これはだいぶヤバい可能性があるんですが、大丈夫なシステムになっているのかどうなのかが気になるところです。

 

　パスワードについて、先ほど、より強固なものとして「文字数がより長く、使う文字の種類が多い」ものと書きましたが、私はパスワードマネージャ（条件にあったパスワードを自動で生成したり、暗号化して保存したりできるソフト）を使っているので、特に指定がない場合はかなり長い文字数で指定するんですよね。

　で、文字数が指定されていない場合はとりあえず8btitを超えるくらい(256文字以上)で適当にパスワードを生成して設定するんですが、SSブログではパスワードが72文字までしか認識されないことが分かりました。

　端的に言えば、先頭から数えて72文字を超えるパスワードは73文字目以降が無視される形になるので、72文字以上のパスワードを設定していた場合、73文字目以降は間違っていてもログインできるようになっています。

 

　これだけでは、現時点ではセキュリティ面では問題と言えるほど問題ではないんですが、例えば今後のシステム改修でパスワードの文字数の上限値を引き上げた場合（72文字→200文字など）、73文字以上のパスワードを設定しているユーザは（認識していなかった73文字目以降の文字列もシステム側が新たにパスワードとして認識するようになり、サーバ側に保存されているものと異なるため）ログインができなくなるので、ユーザ側にパスワード変更の面倒を強いることになるのでよくないです。

 

　もうひとつ、これはこちら側では確認できませんが、パスワードを平文で保存している可能性も否定ができないのが気になるところです。

　通常パスワードは、流出してもそのままでは使えないようにハッシュ関数を複数回通したりなんだりして保存するものなんですが、弾かれずに73文字以上も登録できてしまい73文字目以降が間違っていてもログインができる辺りを考えれば、パスワード自体を平文で全文字データベースに登録できるようにしておいて、システム側で先頭72文字のみ取得して認証に使う、というパターンがありえそうでう～んという気持ちになります。

　このケースは流出すると第三者がそのままパスワードを利用できる形になってしまうのでだいぶマズい仕様です。ただ、ログイン時（ログイン情報送信時）に72文字で切っている可能性もありますし、送信は全文字で行ってからサーバ側で72文字に切ってからハッシュ関数で非可逆処理をしてデータベースに保存している場合もあり得るので、この場合は前述のシステム改修に伴うログイン失敗の問題が出るだけでまあセーフなんですが、いずれにせよお行儀がよいとは言えない仕様だと思います。大丈夫なんですかね？

　念のためにパスワードを忘れた場合の処理も確認してみましたが、こちらはメールアドレス宛にパスワードの文字列をそのまま送信してくるわけでなく、メールアドレス宛に専用リンクのメールを送って新パスワードを再設定させる流れになったので問題なかったのですが（逆にパスワードの文字列をそのまま送信してきた場合、平文で保存していることになり問題）、再認証処理がセーフだったとしてもパスワードの保存方法に関しては不信感が残るのは間違いがないので、大丈夫なのかなあと思ってしまいますね。

 

 

　せっかくシステム改修というか移管でID周りが変わるなら、こういうところもちゃんとしたらよかったのにと思いましたが、So-net blogに関しての 前世の 遠い 記憶を思い返してみれば、そもそも予算がない、お金がないからまともな技術者がいない（要件定義からヤバい）とか普通にありえそうですし、まあ想定内と言えば想定内ですかねぇみたいな気持ちになってどうにもこうにもと思ってしまいました。

 

 

 

　そんなこんなでおしまい！次の記事は10年後くらいでしょうか（ぉ

　今日はたまたま書くことがあったというか、書く必要があったので書いたという側面が強いので、今後書くかどうかも分かりません！

　それではさようなら～～～～～

コメント 2

Riever さん
ご無沙汰してます。
お元気にされていましたか？

SS ブログが Seesaa へ移管されて、
こんてんつ会員の私は、So-net ID は削除しても良いのか？って気もしてます。

パスワードの長さは、
How Secure Is My Password? のサイト
( https://howsecureismypassword.net/ )
で 全部 1 で 72文字を入力したら、
792 sexdecillion years って表示が出たので

暫くは大丈夫かな？って思いますねぇ。
by arkstar (2020-06-29 18:37) 

＞arkstarさん、nice!、コメントありがとうございます
arkstarさん、大変ご無沙汰しております！
元気とは言い難いですね。数年ほど前ストレスで身体を壊したので無理ができなくなりました。無理をしなければまあ大丈夫ですが、身体を酷使するとだいぶしんどくなりますね。酒もたばこもしませんが、疲労がたまってくると肝機能が落ちる兆候なんかも出てきます。

さてさて、セキュリティ面に関してですが、パスワードの強度に一番効いてくるのはやはりパスワード自体の長さなので、できるだけ長く設定しておけばまず大丈夫ですね。
それよりもSSブログ側の管理の方が気になってしまい（サーバからの流出はこちらで予防もできないので）・・・
昔から不安要素があるのはSo-net blogの常でしたが、移管してID周りが変更されるならねぇと思ってしまいます。

ちなみに、6月末まではログインページを開こうとすると、未移行の方向けに旧IDでログインするページなどへもいける案内ページ(https://blog.so-net.ne.jp/account_moving、何故か今も生きています)に飛ばされましたが、ここに移行済ユーザーが移行前のSo-net IDでログインしようとした場合、正規のIDとパスワードを入力した場合のみ新IDでのログインページにリダイレクトされる形になっていました、
ということで、移行したところで内部的には旧IDのアカウントが生きているんだろうなという予想はできていたものの、こちらは7月に入ってからはSo-net blog向けでしか使っていなかったSo-netのIDの場合は無効化されているようで一安心でした。
この辺りまで気を配っていることを考えると、パスワードの平文での保存はしていないような気はするので大丈夫かもしれませんね。
by Riever (2020-07-01 08:29)