2005-02-02 (水)
*キャンパス情報システム
授業評価をしろとメールが着てたので,久しぶりに大学のキャンパス情報システムにログインしてみる.ついでだから,携帯用のページからも入ってみる.こっちはSSLで暗号化されてないんですね.
以前に,携帯からアクセスした時のセッションIDに規則性があるようなことを書きましたが,また一つ気付きました.最後の40ビットは時刻がミリ秒単位で入ってます.ログインしなおしたときに増えた値が,前回のログインからの時間な気がしたので,きっかり5秒後にログインしてみると,0x1400くらい増えてました.
IPアドレスが32ビットで入っているのは前回気付いたので,まだ意味が分からないのは104ビット中32ビットです.これもランダムではなくて,どうも規則性があるらしい感じはしているのですが….毎回4の倍数で上位4ビットが0な所をみると……正体がちらりと見えた気がしますが,これ以上の詮索は次回にしましょう(汗.
一応書いておきますが,セッションIDを予測して不正アクセスをしてみようなんて,これっぽっちも考えてません.表示されたURLの中に意味の分からない数字が書かれていたので,その意味を考察しているだけです.
でも,携帯電話からのアクセスのIPなんて幅が決まってるし,時間も過去数分を総当りすれば良いし,あと32(実質26)ビットも意味ありげだし……セキュリティーホールにならないかが心配なのですが…….一応,私の個人情報(成績とか)も見れちゃうわけですし(見られたからといって構いませんが…).
まぁ,これでも動き始めた当初よりはずっとマシです.携帯からアクセスすると,セッションIDが衝突しまくってて,リロードするたびに表示される自分の名前とメールアドレスが変わるような状態だったので(<書いていいのか?).