アカウントを作る時は……

ケダマ

ちょっと長いんですが説明しますね。 foresdon.jp は mastodon というオープンソースソフトウェアで動いていて、ユーザーの PC やスマートフォンとこんな感じで通信をしています。

ケダマ

ここでは foresdon.jp でアカウントのパスワードを設定する場合について考えます。

  1. PC やスマートフォンからパスワードを入力して、送信します。
  2. PC やスマートフォンから foresdon.jp サーバーの入口までの間は SSL(TLS) という仕組みで通信が暗号化されているため、この区間でパスワードをのぞき見することはできません。
  3. foresdon.jp サーバーは、入口で通信の暗号化を解除して mastodon のプログラムに受信したパスワードを渡します。
  4. mastodon のプログラムはもう1度パスワードを暗号化(ハッシュ化)して保存します。ここで暗号化されたパスワードは、もう誰にも元に戻すことはできません。
ケダマ

というわけで、まぁ基本的には安全っぽいですよね。でもたとえば……

ケダマ

もしケダマが「悪いケダマ」だったら?

「悪いケダマ」は管理毛玉なので foresdon.jp サーバーの中でももちろん色んなことができます。

なのでその気になれば……

  1. foresdon.jp サーバーの入口から mastodon プログラムの間で一瞬だけ暗号化が解除された隙に、パスワードを盗聴することができます。
  2. mastodon プログラムにちょこっと細工して、暗号化が解除されたパスワードをこっそり保存することができます。
ケダマ

こういうの、実はそんなに難しくないんですプクククク……

さて次に「悪いケダマ」は手に入れたパスワードを使って、登録されているメールアドレスのアカウントにアクセスしてみます。mastodon に登録されたメールアドレスは非公開ですが、ケダマは管理毛玉なので普通に見ることができます。

ケダマ

この時、もし foresdon.jp とメールアカウントで同じパスワードを使いまわしていたら、このメールアドレスも乗っ取り完了ですね。受信メールや送信済みメールが見放題です。

ケダマ

さらにさらに、foresdon.jp に登録したメールアドレスが、例えば twitter の登録に使ったものと同じだった場合、twitter からの通知メールとかが残っていれば twitter アカウントがわかっちゃいます。

そしてまたパスワード同じだったら……?

ケダマ

もちろん foresdon.jp にはそんな細工はしてません。ケダマは「良いケダマ」なので!!(゚∀゚) ……というか、種々メールサービスや twitter なんかは実際はそんなにアマくないですし、ケダマが自分で手間かけて作った foresdon.jp サーバーで、ユーザーのパスワード盗んだところで何が楽しいのっていうですね……。

ケダマ

ただ万が一、ケダマの力及ばず foresdon.jp が乗っ取られてしまうような最悪の事態が発生すると、「悪いケダマ」の立ち位置に立つのは、誰とも知らない「悪意の第三者」です……

ケダマ

そういうわけで、万が一の事態が発生した場合でも被害を最小限に食い止めるために……

ケダマ

……この2つは是非ともケダマのお願いを聞いてもらえますよう、よろしくお願いいたします。m(_ _)m