今注目のニュース
教員の暴言や体罰が放置される私立学校。お受験の先にある地獄
高樹沙耶さん「日本での大麻に関する法規制は人権侵害の何物でもない」 日大ラグビー部員の大麻所持逮捕でツイート
こたつの“まさかの特等席”を独占する猫ちゃん ふかふか&ぬくぬくの場所を見つけてドヤ顔の「あめ」くんがかわいい

display: none;単語

ディスプレイノーン

  • 1
  • 0
掲示板をみる(2)
  • twitter
  • facebook
  • はてな
  • LINE
  • ほめる(1)
  •  
  •  
  •  
  •  
  • その他

「display: none;」とは、株式会社セブン・ペイが2019年7月4日に提案した最新の緊急セキュリティ対策である。

概要

セブン&アイホールディングスが既存のスマートフォンアプリ「オムニ7アプリ」に機を追加する形で2019年7月1日からのスマートフォン決済システムセブンペイ」のサービスを開始した。

「オムニ7アプリ」には、登録したメールアドレス以外のメールアドレスパスワードリセットのためのメールを送信できるという仕様上の致命的なセキュリティホールが長らく存在していたが、不正アクセスしたところで盗むことができるのが割引クーポンだけだったため、攻撃の対とはなっていなかった。

ところが、そのセキュリティホールを放置したままクレジットカードデビッドカードと連携できるスマートフォン決済システムセブンペイ」のサービスを開始したため、サービス開始直後から中国を中心とした反社会的勢力の中でお祭り騒ぎとなり、「セブンペイ」の不正利用が頻発した。

株式会社セブン・ペイが不正利用を認識したのが 7/2 の夕方で、海外IPアドレスの遮断等の対策が取られていたが、上記セキュリティホールへの対応がとられたのが、ほぼ丸2日が経過した7/4 の頃になってからであった。

が、直後に善意井のデバッガーにより、登録したメールアドレス以外のメールアドレス欄がCascading Style SheetsカスケーディンスタイルシートCSS)で「display: none;」と記載されているだけでサーバサイドの処理は修正されておらず、セキュリティホールは全く善されていないことが発覚し、twitter日本のトレンド入りするほどのお祭り騒ぎとなった。

CSSの「display: none;」の機能

CSSdisplay要素はhtmlブロック要素、インライン要素等に記載でき、表示形式を定できる。「display: none;」を定した場合、ブラウザレンリング(描画)時に画面上に表示しないだけであり、「display: none;」が定されているhtml要素の機はそのまま残る。

そのため、ブラウザに付属している開発者ツールを使用して、消えているhtml要素を再表示し値を入すれば、サーバデータを送信することができる。

なお、CSSでは次のCSS要素がない場合、末尾の「;(セミコロン)」はなくてもよいため、「display:none」の記載も間違いではない。

本来すべきだったセキュリティ対策

本来行うべきであった上記セキュリティホールへの対策は以下の2点となる。(最悪でも1は対応する必要がある。)

  1. サーバサイドで「登録したメールアドレス以外のメールアドレス欄」の機削除する。
  2. 画面上に表示されている「登録したメールアドレス以外のメールアドレス欄」のhtml削除する。

社会科学的意義

本来すべきだったセキュリティ対策の必要性を実際の実装担当者が認識していなかった可性は考えにくく、その情報を上にあげられない(上が受け付けない)企業としての体質や大手ベンダーの多重下請け構造の闇等がうかがい知れ、大変興味深い事である。

経済効果

2019年7月4日中に上記事象をパロディにしたTシャツが発売exitされるなど、日本経済への若干の貢献が見られる。

関連項目

掲示板

急上昇ワード

最終更新:2020/01/20(月) 23:00

ほめられた記事

最終更新:2020/01/20(月) 23:00

ウォッチリストに追加しました!

すでにウォッチリストに
入っています。

OK

追加に失敗しました。

OK

追加にはログインが必要です。

           

ほめた!

すでにほめています。

すでにほめています。

ほめるを取消しました。

OK

ほめるに失敗しました。

OK

ほめるの取消しに失敗しました。

OK

ほめるにはログインが必要です。

タグ編集にはログインが必要です。

タグ編集には利用規約の同意が必要です。

TOP