パスワードを忘れた? アカウント作成
1901 story

今度はニセの証明書に騙される穴 56

ストーリー by wakatono
汲めども汲めども見えぬ底 部門より

jbeef曰く、"24日朝にBUGTRAQに流れた記事によると、 ニセのSSL証明書で運用されているサーバにアクセスしても、 IEでは警告が出ないというセキュリティホールが発覚した。Netscape 6で 発見者による実証デモのページ(*1)を訪れてみると、しっかりと「セキュリティエラー:ドメイン名の不一致」という警告ダイアログが現れる。このデモページのURLは「http:」だが、 このページに埋め込まれている画像のURLが「https:」となっているため、そちらに反応した警告である。IEでアクセスした場合にはこうした警告が出ない。

ページが「http:」なので、このことそのものはセキュリティ上の問題とならないが、 問題なのは、このページにアクセスした後に「同じ https: のページ(*2)」を訪れた際にも警告が出ないことである。 画像を埋め込んだページ(*1)を事前に踏ませてからSSLのページ(*2)に誘い込むようにすれば、すっかり騙せてしまうというわけだ。
発見者はMicrosoftに11月26日に連絡をしたとのこと。パッチはまだ出ていない。"

本日でちょうど1ヶ月…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by kamuy (1690) on 2001年12月26日 1時59分 (#49860) ホームページ 日記
    まあ、底が抜けてますから。
    --
    -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
  • by jbeef (1278) on 2001年12月26日 10時32分 (#49911) 日記
    別の人がBUGTRAQに報告した [securityfocus.com]ところによると、 Konqueror 2.2.1 [konqueror.org] および lynx 2.8.4rel.1 [isc.org] でも警告が出ないのだとか。

    「MSのふり見て我がふり直せ」 ってことで類似のアプリケーションの開発に携わる方はご注意を。

  • 続報 (スコア:3, 参考になる)

    by jbeef (1278) on 2001年12月26日 10時23分 (#49907) 日記
    発見者がその後 BUGTRAQに追記した記事 [securityfocus.com] によると、
    なんと、この問題は、 1999年12月にも一度指摘されて [acros.si] いて、
    MS00-039 [microsoft.com]で一度修正されていたことが判明。

    それが復活してしまっているらしい。

    • Re:続報 (スコア:3, 参考になる)

      by Dot.Zeile (1169) on 2001年12月26日 18時01分 (#50017) 日記
      確かに、IE5.0で試したら、httpsのページの方で警告が出ました。

      むしろ、私は、Netscape6.2.1の方が逆にhttpのページで警告を出してそこでOKしたらhttpsのページに行ってもそのまま通っちゃうのが気になります。secureじゃないページで警告が出て、それが最終確認ということになっちゃうと、「とりあえずここでは大丈夫」と思ってOKしちゃったあと、もっとヤバイページに移動することになってもそのときはもう…、というケースが考えられるので…。
      毎回警告するようにならないといけないのかな?
      親コメント
  • 競争が必要 (スコア:3, 興味深い)

    by Futaro (2025) on 2001年12月26日 11時52分 (#49930) ホームページ 日記
    こういうことに気を付けないで開発が行われている、ということが、消費者にいかに多大な損失をもたらすことになるか、ということをまるで考えないで、かの会社がいられるのは、やはり「競争」による開発者の「緊張」が欠けるからだと思う。

    独占は競争を生まず、競争のない製品は堕落する。結果、社会的な損失は見る見るうちに増える。

    製品が腐っているのはその結果を見れば明らかであって、それは結果でしかない。本当に怖いのは、失われた緊張感をそれと感じる事もできずに、日々を不安の中でぼくらが暮らさなければならなくなること。

    この社会にあって「独占」は、なぜ忌まわしいものとして退けるべきか、といえば、要するにこういうこと。すでに大手のプロバイダなどは緊張感のある人たちが減って、最近はトラブルも続出している。ネットくらいならまだいい。電気、水道、といったインフラは競争とは別の意味での独占による安定が必要だが、技術革新の激しい分野では、競争がなければ緊張感もなくなり、発展もない。それだけならいいが、ブラウザとかネットという場合は実際に被害が出る。

    「競争」という、技術分野での「良き伝統」を守るにはどうしたら良いか?そろそろまじめに考える必要があるのでは?
    • by ripperzero (4721) on 2001年12月26日 12時54分 (#49944) 日記
      「競争」という、技術分野での「良き伝統」を守るにはどうしたら良いか?

      と言われても、とりあえずIEに関しては競争の結果勝ち組になったんですけど。経過はともかくとして。

      ま、IEが駄目駄目となれば、今はその(数的に)後ろにいるMozillaやOperaなどなどがIEより上に立つチャンスだと思います。

      とりあえず自分(達)にできることは、使って、バグだしをして、結果をフィードバックをして、力量やチャンスがあるなら開発にも参加をして、ほかの人にも自信を持ってお勧めできるブラウザに育ってくれることを期待するくらいですか。もちろんIEに対してそうするのもよし。

      それとも、決着のつかない競争がお好きですか?それって競争っていいますか?

      親コメント
      • by shigezo (2455) on 2001年12月26日 13時38分 (#49956) 日記
        >それとも、決着のつかない競争がお好きですか?それって競争っていいますか?

         決着の後はまた勝った方の独占ですか?
         それなら決着のつかない競争の方が良いのでは無いだろうか?

         決着の着かない戦争は嫌ですしお互いがあの手この手じゃ邪魔しあう競争は
         利用者に不利益しかもたらしませんので嫌ですが、お互いが切磋琢磨しあう競争は大歓迎だと思います。

         重蔵。
        親コメント
        • MicrosoftがIEでやった「競争」って、技術的なそれと言うよりはマーケティング的な物だし、しかもOSでの独占的地位を利用した不公正な手口だった訳で....。
          その意味で、このような状況が続けばもう一度「公正な競争」が必要という考え方が支持を広げるのではないでしょうかね。
          親コメント
        • by ripperzero (4721) on 2001年12月26日 14時19分 (#49974) 日記
          決着の後はまた勝った方の独占ですか?

          あ、またそこから競争が始まる、という意味で「決着がつかない競争」ですか。日本語読めてませんでした。でしたら、WEBブラウザならまだ競争は続いてますよね。OSもそうですよね。競争は続いているけど独占、というのは変な気がしたもんで。

          親コメント
      • by kawamura (4373) on 2001年12月26日 13時56分 (#49962)
        それ(決着のつかない状態=競い合っている状態)こそを競争というのではないでしょうか?

        他のブラウザにチャンスがあるのですから、まだ結果を語るには早いですよ。
        現状では確かにIEが勝ち組だとは思いますが。。。
        それにしても、IEのバグによって他ブラウザにチャンスが生まれてるのですから、世の中うまく出来てるもんです(笑)

        「IEにあらずんばブラウザにあらず」?
        否、「奢れるものは久しからず」
        そして再び競争が。

        南無八幡大明神。閲覧者の利益と共に、編集者の利益も確保された競争でありますように。。。
        親コメント
      • by Average (3404) on 2001年12月27日 11時49分 (#50142) 日記
        OSにはなっからビルトインしているブラウザと、インストールしないと使えないブラウザがあれば結果は見えていると思いますが。
        それに、そういう立場で「なんとしてもWebブラウザのシェアを制圧する」というモチベーションがあって、OSを売って金がメチャメチャある所と競争して勝つ方法があるなら教えてほしいです。
        --
        -----------------
        #そんなワタシはOS/2ユーザー:-)
        親コメント
  • 本日でちょうど1ヶ月…
    本題とはずれますが、セキュリティー・ホールの発見/連絡から (塞がれない状態での) 開示までは、どれくらいが適当なのでしょう?開発サイドの塞ぐ努力や姿勢、穴の種類によっても当然変わるのでしょうが、例えば今回なら「1か月」は妥当な猶予期間といえますか?

    #わたしは十分に感じるけれども、
    #組織内で大規模開発をしたことがないし、
    #そもそも広範囲にソフトを使ってもらったこともないので。
  • by f6_6m (6762) on 2001年12月26日 5時48分 (#49884)
    http://www.microsoft.com/japan/support/kb/articles/J056/8/40.asp [microsoft.com]とか http://memo.st.ryukoku.ac.jp/archive/200111.month/2110.html [ryukoku.ac.jp]とか

    げいつ様??私は何を信じたら良い子になれますか??

  • by at_it (3191) on 2001年12月26日 19時19分 (#50035)
    私が使ってるIE6.0 (Version 6.00.2600.0000)では、確かに (*1) [suspekt.org]のページでは警告が 出ませんが、このページからのリンクで (*2) [suspekt.org]のページ に移動すると、きちんと
    ―――――――――――――――――
    このサイトと取り交わす情報は、ほかの人から読み取られたり変更されることはあ
    りません。しかし、このサイトのセキュリティ証明書には問題があります。

    ○このセキュリティ証明書は、信頼された証明期間から発行されています。

    ○このセキュリティ証明書の日付は無効です。

    △セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません。

    続行しますか?
    ―――――――――――――――――
    という警告が出てくるので、問題はないように思えるんですが、どうなんでしょう?
    • 素人目だと、「とにかく先、先」という意識がありそうなので、中途半端なメッセージ(「ダメだ」、じゃなくて、「ダメかも」とか)だと、無視されそうな気がします。
      親コメント
    • by kjm (1606) on 2001年12月26日 20時06分 (#50043) ホームページ
      手元の IE 6 (6.0.2600.0000) + Q306121;Q312461;Q313675 on Windows 2000 SP2 ではその警告が出ないのです。もちろん、IE を再起動後 http://suspekt.org/ にアクセスする前に https://suspekt.org/secure.html にアクセスすれば、ちゃんと警告が出ますが。
      親コメント
      • by at_it (3191) on 2001年12月27日 1時00分 (#50088)
        私の環境は、

        IE6(6.0.2600.0000) + Q312461;Q313675 on Windows 2000 SP1

        です。画像を表示する設定にもなってます。

        もちろん、https://suspekt.org/secure.htmlにアクセスしたのは、http://suspekt.org/にアクセスした後です。

        その後、さらに試してみましたが、IEを再起動して同じようにアクセスすると、必ず1度はセキュリティ警告が出るようです。しかし、一度セキュリティ警告が出た後は、IEを再起動しない限り、2度と警告は出ません。(1回目の警告に「はい」と答えた場合はもちろん、「いいえ」と答えた場合もです。) したがって、私の環境でも問題がないわけではないようです。
        親コメント
        • by at_it (3191) on 2001年12月27日 1時07分 (#50091)
          私のIEでは、
          ツール→インターネットオプション→詳細設定→セキュリティの
           「□ 無効なサイト証明書について警告する」
          にチェックが入ってました。
          (このチェックはデフォルトで入ってるようです。)
          親コメント
          • by Dot.Zeile (1169) on 2001年12月27日 10時49分 (#50130) 日記
            うちでは警告が出た、出ない、とバラバラの結果が出ているような気がします。「バージョン」のつけ方そのものが複雑な上にオプション設定がバージョンごとにデフォルトONだったりOFFだったりとかしているのではないのかなあ、と憶測しています。そのために特定のバージョンではオプション設定値との組み合わせで穴があいてるんだけど、それは「設定値」と矛盾してないからバグではない、とMSは思っていて、だからいつまで経っても対応しない…違うかな?

            IEのバージョンなんてみんな5.0/5.5/6.0みたいなメジャーバージョンの区切りでしか分かってないし、5.0から5.01へ行ってその後はSP1だSP2だ、とかそういうバージョンの移行の仕方をしているからよほどでないと把握不可能だと思います。VMとの組み合わせその他でさらに細かいバージョン違いがあるし。誰か分かりやすい図にまとめてくれないかなあ。
            親コメント
            • Re:補足 (スコア:3, 興味深い)

              by shigezo (2455) on 2001年12月27日 12時08分 (#50145) 日記
              >誰か分かりやすい図にまとめてくれないかなあ。

               MSの技術情報にIEの細かなバージョン毎の一覧みたいなのがあったのを見た事があります。
               OFFICEのどの版をいれているかでも細かなバージョンが違う様でIE5,IE5.5と一口に言っても
               おっしゃる通りSPの違いやらなんやらでいーーーっぱいありました。
               WEBアプリ作っている立場から言うとこんなにテストできるかぁ!って気持ち・・・

               で、今MSのサイトで検索して探して見たのですがなんだか検索がまともに機能していない様で・・
               肝心な時に肝心な物が機能しない。うーん実にMSらしいWEBサイトだ(笑)

               重蔵。
              親コメント
    • by Hisahimi (4212) on 2001年12月27日 7時17分 (#50113) 日記
      私が使っているIE5.1.3(3905)では、http://suspekt.org/へ移動した時点で以下のような警告が出ますよ。

      ---

      "suspekt.org"へセキュリティで保護された接続を確立できませんでした。サイトのセキュリティ証明で問題が発生しました。(証明書の名前が正しくありません。)

      表示、あるいは送信する情報は送受信中に他人に読まれる可能性があり、また目的の宛先に届かない可能性があります。

      このページの読み込みをを続行しますか?

      ---

      ちなみにMacOSX版ですが。
      親コメント
    • それって、まさか詳細設定で「画像を表示する」のチェックを外しているとか…?
      #そうでないなら謝ります。

      手元のIE 6.0.2600.0000.xpclient.010807-1148;Q312461;Q312675; ではこの穴は開きっぱなしのようでしたねぇ…。
  • by kawamura (4373) on 2001年12月26日 2時54分 (#49872)
    今ごろ「何か新しく追加できる(注目されるであろう)機能は無いものか?」と考えてたりして。
    既知の穴は、さりげに塞いでおいて、「こんな凄いの出来ましたけど」とか。

    もちろん追加した新機能にも穴は忘れない。
    どんどんバージョンアップできるぞー。やったね。
    今までもそうだっけ?
  • それでこれをどう悪用するのですか?
    • by jbeef (1278) on 2001年12月26日 10時13分 (#49905) 日記
      例えば slashbank.jp という銀行があったとしましょう。 表紙ページが http://slashbank.jp/ で、 ログインページが https://slashbank.jp/login.jsp だとします。

      一般にhttpのページはDNS spoofing攻撃によって、 ニセのアドレスにアクセスさせることができます。 こうした成りすましを防ぐためにあるのがSSLのサーバ証明書です。 どんなにがんばってニセのページを作っても、 httpsのページについては、 証明書発行機関が署名してくれた本物のslashbank.jpのサーバ証明書をサーバに組み込んでおかないと、 ブラウザが「セキュリティエラー:ドメイン名の不一致」という警告を出すので、ニセ物とばれてしまいます。

      今回のバグで警告が出ないのであれば、 ニセの https://slashbank.jp/login.jsp を用意して、 サーバ証明書にはどこかぜんぜん違うところのドメイン用のものを流用しておけば、 一見本物と違わないように見せることができてしまいます。

      親コメント
    • 不正な手段で入手したサーバ側証明書を自分のサイトでこの方法で利用すれば、本来誰も保証していない身分を「保証された」ものとすることができますわな。
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...