💡 Summary
ハッシュ化したトークンを扱ってAPI操作をすると違うユーザーとしてAPI操作してしまう。
📝 Steps to Reproduce
- app/create でアプリを作成
- 作成したシークレットキーでセッショントークンを作成 (auth/session/generate)
- ブラウザで認証してアクセストークンを発行する(auth/session/userkey) <=ここまでは自分のアカウントだということがわかった
- アクセストークンとシークレットキーをsha256化してハッシュ化
- ↑のキーを使って何かしらのAPI操作をする
- 自分のアカウントではなく他のアカウントとして操作していることになってる
※ノート削除とか一部機能は通じない???
YuzuRyo61
❤2
👀1
All 15 comments
その「ほかのアカウント」は常に同じアカウントですか?
syuilo
on 15 Apr 2019
その「ほかのアカウント」は常に同じアカウントですか?
どうやらしばらく置いてたりするとアカウントが変わっているようで・・・。
YuzuRyo61
on 15 Apr 2019
ありがとうございます🙏
syuilo
on 15 Apr 2019
👍1
たぶんどこかのクエリが抜けていて、認証したアカウントではなく常に最新のアカウントを持ってきているように思える
syuilo
on 15 Apr 2019
😕1
でも見た感じ問題ないので謎
syuilo
on 15 Apr 2019
👍1
(これは放おっておけない致命的なバグですね・・・。)
YuzuRyo61
on 15 Apr 2019
一旦リリース消したほうがいいのでは。原因がわからないまま本リリース(非プレリリース)で出したままにしておくのは、脆弱性を把握していない運用者やユーザーを非常に困惑させると思います。
acid-chicken
on 15 Apr 2019
😕3
テーブルの定義に問題がありそう
syuilo
on 15 Apr 2019
syuilo
on 15 Apr 2019
リリースって消せるのかな?
syuilo
on 15 Apr 2019
今一度脆弱性がないか確認したあとv11を放棄してv12でやり直すのも選択肢の一つかも。(PHP 6 などのような事例)
acid-chicken
on 15 Apr 2019
❤2
とりあえず 11.1.3 で出します
syuilo
on 15 Apr 2019
👍1
https://github.com/syuilo/misskey/commit/400cdf0f269fc3b035b897e10323371d4c79c751
この変更を適用するのに、スキーマの同期とかマイグレーションは必要になりますかね?
mei23
on 15 Apr 2019
そう考えてます
なのでアクセストークン作成はできなくなってるかもしれないです
どうやって同期させるか考え中です
syuilo
on 15 Apr 2019
👍1
TypeORM内部の実装に由来する問題だとしたら、もしかしたらスキーマの同期しなくても大丈夫かもしれないですね
syuilo
on 15 Apr 2019
👀1
Was this page helpful?
0 / 5 - 0 ratings
Related issues
2vg
·
3Comments
syuilo
·
3Comments
no-boot-device
·
3Comments
ibrokemypie
·
3Comments
marek-lach
·
3Comments
Most helpful comment
今一度脆弱性がないか確認したあとv11を放棄してv12でやり直すのも選択肢の一つかも。(PHP 6 などのような事例)