display: none;単語

ディスプレイノーン
  • 1
  • 0pt
掲示板へ

「display: none;」とは、株式会社セブン・ペイが2019年7月4日に提案した最新の緊急セキュリティ対策である。

概要

セブン&アイホールディングスが既存のスマートフォンアプリ「オムニ7アプリ」に機を追加する形で2019年7月1日からのスマートフォン決済システムセブンペイ」のサービスを開始した。

「オムニ7アプリ」には、登録したメールアドレス以外のメールアドレスパスワードリセットのためのメールを送信できるという仕様上の致命的なセキュリティホールが長らく存在していたが、不正アクセスしたところで盗むことができるのが割引クーポンだけだったため、攻撃の対とはなっていなかった。

ところが、そのセキュリティホールを放置したままクレジットカードデビッドカードと連携できるスマートフォン決済システムセブンペイ」のサービスを開始したため、サービス開始直後から中国を中心とした反社会的勢力の中でお祭り騒ぎとなり、「セブンペイ」の不正利用が頻発した。

株式会社セブン・ペイが不正利用を認識したのが 7/2 の夕方で、海外IPアドレスの遮断等の対策が取られていたが、上記セキュリティホールへの対応がとられたのが、ほぼ丸2日が経過した7/4 の頃になってからであった。

が、直後に善意井のデバッガーにより、登録したメールアドレス以外のメールアドレス欄がCascading Style SheetsカスケーディンスタイルシートCSS)で「display: none;」と記載されているだけでサーバサイドの処理は修正されておらず、セキュリティホールは全く善されていないことが発覚し、twitter日本のトレンド入りするほどのお祭り騒ぎとなった。

CSSの「display: none;」の機能

CSSdisplay要素はhtmlブロック要素、インライン要素等に記載でき、表示形式を定できる。「display: none;」を定した場合、ブラウザレンリング(描画)時に画面上に表示しないだけであり、「display: none;」が定されているhtml要素の機はそのまま残る。

そのため、ブラウザに付属している開発者ツールを使用して、消えているhtml要素を再表示し値を入すれば、サーバデータを送信することができる。

なお、CSSでは次のCSS要素がない場合、末尾の「;(セミコロン)」はなくてもよいため、「display:none」の記載も間違いではない。

本来すべきだったセキュリティ対策

本来行うべきであった上記セキュリティホールへの対策は以下の2点となる。(最悪でも1は対応する必要がある。)

  1. サーバサイドで「登録したメールアドレス以外のメールアドレス欄」の機削除する。
  2. 画面上に表示されている「登録したメールアドレス以外のメールアドレス欄」のhtml削除する。

社会科学的意義

本来すべきだったセキュリティ対策の必要性を実際の実装担当者が認識していなかった可性は考えにくく、その情報を上にあげられない(上が受け付けない)企業としての体質や大手ベンダーの多重下請け構造の闇等がうかがい知れ、大変興味深い事である。

経済効果

2019年7月4日中に上記事象をパロディにしたTシャツが発売exitされるなど、日本経済への若干の貢献が見られる。

関連項目

【スポンサーリンク】

  • 1
  • 0pt
スマホ版URL:
https://dic.nicovideo.jp/t/a/display%3A%20none%3B

この記事の掲示板に最近描かれたお絵カキコ

お絵カキコがありません

この記事の掲示板に最近投稿されたピコカキコ

ピコカキコがありません

display: none;

1 ななしのよっしん
2019/07/09(火) 05:30:49 ID: YIWFWcbt8s
これはひどいけど
セブンペイリダイレクトでもいいんじゃない?
2 ななしのよっしん
2019/12/21(土) 03:27:57 ID: pDFUmxU98m

急上昇ワード