S/MIMEでの脆弱性の報告No.20216
秀まるお2 さん 04/10/14 16:40
 
 実は、とあるセキュリティ関係の人から連絡を受けたんですが、鶴亀メールの
S/MIME関係で脆弱性があります。脆弱性と言われたのでこりゃ大変だと思ったで
すが、実は以前から僕自身が手抜きしてた所でして…

 S/MIME電子署名されたメールを検証する時に、実は鶴亀メールはその電子署名
の有効期限のチェックをしていません。なので、有効期限が切れていても、特に
有効期限が切れているとかってメッセージが出ないです。

 あと、電子署名された証明書のパスというか、その電子署名の発行元、さらに
はそれの発行元(最終的にはベリサインに行き着く?)の検証もしていません。
なので、仮にそういう、個人で作ったような証明書であっても、特に警告は出な
いです。

 その辺ご注意お願いします。
[ ]
RE:20216 S/MIMEでの脆弱性の報告No.20217
秀まるお2 さん 04/10/14 17:19
 
>  S/MIME電子署名されたメールを検証する時に、実は鶴亀メールはその電子署名
> の有効期限のチェックをしていません。

 電子署名じゃなくて、「証明書」の間違いでした。

 電子署名自体の検証とは別に、電子署名に使われている証明書について、その
証明書が有効期限切れであっても特にチェックしてないという話になります。
[ ]
RE:20217 S/MIMEでの脆弱性の報告No.20218
KOFI さん 04/10/14 18:07
 
 あまり関係ないですが、下記高木さんのページにMUAのS/MIMEユーザインターフェ
イスの改良案についてコメントしているところがあります。

http://d.hatena.ne.jp/HiromitsuTakagi/20040829#p1
http://d.hatena.ne.jp/HiromitsuTakagi/20040831#p1

# 鶴亀メールがどうというわけではないです。単なる話題としてコメントしてみまし
た。
[ ]
RE:20218 S/MIMEでの脆弱性の報告No.20222
秀まるお2 さん 04/10/14 22:40
 
 とりあえず、

 1.証明書の期限のチェック。
 2.証明書パス(certificate chain)についての正当性の検証。具体的には、
   CertVerifyCertificateChain関数によるチェック。
 3.証明書のメールアドレスとメールのFrom:メールアドレスの一致チェック。

 を入れることにします。失効については実際に証明書の発行元サーバーに接続
しないと分からないので、何かボタンを用意しようかなぁと今考え中ですが…。

 ただ、元々こういうチェックをしてないからといって、それを「脆弱性」呼ば
わりされるのはどうかという気もします。例えば、証明書の有効期限を過ぎ照る
場合に「有効期限を過ぎてない」と出したらまずいでしょうが、有効期限につい
て特に何も言ってない分には問題ないというか、そういう仕様(チェックしてな
いという仕様)でもいい気もします。
[ ]