Bug(バグ) #1112
Session-cookie is not kept in mobile-phones by au and SoftBank if OpenPNE is running in partial-SSL mode (部分SSL機能を有効にしている際に、 au と SoftBank 端末でセッションクッキーが保持できない)
100%
説明
Overview (現象)¶
Session-cookie is not kept in mobile-phones by au and SoftBank if OpenPNE is running in partial-SSL mode
部分SSL機能を有効にしている際に、 au と SoftBank 端末でセッションクッキーが保持できない
Causes (原因)¶
A mobile phones by au and SoftBank don't share Cookies with HTTP and HTTPS.
au や SoftBank の携帯端末では HTTP と HTTPS 間で Cookie を共有していない。
au¶
A mobile phone that is provided by au, stores Cookie to EZ-Server. But when it try SSL connecting, a Cookie is stored to inside the mobile phone.
au の携帯端末は Cookie を EZ サーバに保存する。しかし、 SSL 通信時には端末内に Cookie を保存している。
See: http://www.au.kddi.com/ezfactory/tec/spec/cookie.html
SoftBank¶
A mobile phone that is provided by SoftBank, stores Cookies by the following ways:
SoftBank の携帯端末では以下のようにして Cookie を保存する。
- When access to "https://example.com/" (https://example.com/ にアクセスした場合): Share Cookies of "http://example.com/" (http://example.com/ の Cookie を共有する)
- When access to "https://secure.softbank.ne.jp/example.com/" (https://secure.softbank.ne.jp/example.com/ にアクセスした場合): Not share Cookies of "http://example.com/" (http://example.com/ の Cookie は共有しない)
Way to fix (修正内容)¶
- SSL connection by a mobile phone of SoftBank must be via "https://secure.softbank.ne.jp" (SoftBank 端末で SSL アクセスする場合は必ず https://secure.softbank.ne.jp/ を経由するようにした)
- If a mobile phone of SoftBank or au tries to HTTPS log-in, now redirect to "member/setSid" action to share session id with HTTP and HTTPS (HTTPS でのログインを SoftBank や au 端末が試みようとした場合、 HTTP と HTTPS 間でセッション ID を共有するために member/setSid アクションにリダイレクトするようにした)
関係しているリビジョン
added ability to share authentication informations with HTTP and HTTPS for Japanese mobile phone (fixes #1112)
added a measures for secure.softbank.ne.jp (refs #1112)
made more secure sharing authentication informations with HTTP and HTTPS in mobile_frontend (refs #1112)
There is no way to realize SSL providable member/setSid action. It is not avoidable an attacker to eavesdrop a connection that contains a session ID, so it permits to being possible session-hijacking.
These changes are for encrypting that session ID in a query string, it makes difficult to imperson a victim
履歴
#1 Kousuke Ebihara がほぼ14年前に更新
- ステータス を Accepted(着手) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更
更新履歴 986e233506ed28d3120222c2010ff75ca29780e1 で適用されました。
#2 Kousuke Ebihara がほぼ14年前に更新
- 題名 を Session-cookie is not kept in mobile-phones by au and SoftBank if OpenPNE is running in partial-SSL mode から Session-cookie is not kept in mobile-phones by au and SoftBank if OpenPNE is running in partial-SSL mode (部分SSL機能を有効にしている際に、 au と SoftBank 端末でセッションクッキーが保持できない) に変更
- ステータス を Pending Review(レビュー待ち) から Fixed(完了) に変更
- 進捗率 を 50 から 100 に変更