今度はニセの証明書に騙される穴 56
ストーリー by wakatono
汲めども汲めども見えぬ底 部門より
汲めども汲めども見えぬ底 部門より
jbeef曰く、"24日朝にBUGTRAQに流れた記事によると、 ニセのSSL証明書で運用されているサーバにアクセスしても、 IEでは警告が出ないというセキュリティホールが発覚した。Netscape 6で 発見者による実証デモのページ(*1)を訪れてみると、しっかりと「セキュリティエラー:ドメイン名の不一致」という警告ダイアログが現れる。このデモページのURLは「http:」だが、 このページに埋め込まれている画像のURLが「https:」となっているため、そちらに反応した警告である。IEでアクセスした場合にはこうした警告が出ない。
ページが「http:」なので、このことそのものはセキュリティ上の問題とならないが、
問題なのは、このページにアクセスした後に「同じ https: のページ(*2)」を訪れた際にも警告が出ないことである。
画像を埋め込んだページ(*1)を事前に踏ませてからSSLのページ(*2)に誘い込むようにすれば、すっかり騙せてしまうというわけだ。
発見者はMicrosoftに11月26日に連絡をしたとのこと。パッチはまだ出ていない。"
本日でちょうど1ヶ月…
汲めども汲めども見えぬ底 … (スコア:4, おもしろおかしい)
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:汲めども汲めども見えぬ底 … (スコア:1)
とゆーか、どんどん吸い込んでる(吸い寄せてる)ようにも見える。
Re:汲めども汲めども見えぬ底 … (スコア:2)
# ブラックホールなら見えないって...
IEだけではないらしい (スコア:4, 参考になる)
「MSのふり見て我がふり直せ」 ってことで類似のアプリケーションの開発に携わる方はご注意を。
Re:IEだけではないらしい (スコア:1)
とりあえずご報告ってことで。
続報 (スコア:3, 参考になる)
なんと、この問題は、 1999年12月にも一度指摘されて [acros.si] いて、
MS00-039 [microsoft.com]で一度修正されていたことが判明。
それが復活してしまっているらしい。
Re:続報 (スコア:3, 参考になる)
むしろ、私は、Netscape6.2.1の方が逆にhttpのページで警告を出してそこでOKしたらhttpsのページに行ってもそのまま通っちゃうのが気になります。secureじゃないページで警告が出て、それが最終確認ということになっちゃうと、「とりあえずここでは大丈夫」と思ってOKしちゃったあと、もっとヤバイページに移動することになってもそのときはもう…、というケースが考えられるので…。
毎回警告するようにならないといけないのかな?
競争が必要 (スコア:3, 興味深い)
独占は競争を生まず、競争のない製品は堕落する。結果、社会的な損失は見る見るうちに増える。
製品が腐っているのはその結果を見れば明らかであって、それは結果でしかない。本当に怖いのは、失われた緊張感をそれと感じる事もできずに、日々を不安の中でぼくらが暮らさなければならなくなること。
この社会にあって「独占」は、なぜ忌まわしいものとして退けるべきか、といえば、要するにこういうこと。すでに大手のプロバイダなどは緊張感のある人たちが減って、最近はトラブルも続出している。ネットくらいならまだいい。電気、水道、といったインフラは競争とは別の意味での独占による安定が必要だが、技術革新の激しい分野では、競争がなければ緊張感もなくなり、発展もない。それだけならいいが、ブラウザとかネットという場合は実際に被害が出る。
「競争」という、技術分野での「良き伝統」を守るにはどうしたら良いか?そろそろまじめに考える必要があるのでは?
Re:競争が必要 (スコア:1)
と言われても、とりあえずIEに関しては競争の結果勝ち組になったんですけど。経過はともかくとして。
ま、IEが駄目駄目となれば、今はその(数的に)後ろにいるMozillaやOperaなどなどがIEより上に立つチャンスだと思います。
とりあえず自分(達)にできることは、使って、バグだしをして、結果をフィードバックをして、力量やチャンスがあるなら開発にも参加をして、ほかの人にも自信を持ってお勧めできるブラウザに育ってくれることを期待するくらいですか。もちろんIEに対してそうするのもよし。
それとも、決着のつかない競争がお好きですか?それって競争っていいますか?
Re:競争が必要 (スコア:2)
決着の後はまた勝った方の独占ですか?
それなら決着のつかない競争の方が良いのでは無いだろうか?
決着の着かない戦争は嫌ですしお互いがあの手この手じゃ邪魔しあう競争は
利用者に不利益しかもたらしませんので嫌ですが、お互いが切磋琢磨しあう競争は大歓迎だと思います。
重蔵。
Re:競争が必要 (スコア:2)
その意味で、このような状況が続けばもう一度「公正な競争」が必要という考え方が支持を広げるのではないでしょうかね。
Re:競争が必要 (スコア:1)
あ、またそこから競争が始まる、という意味で「決着がつかない競争」ですか。日本語読めてませんでした。でしたら、WEBブラウザならまだ競争は続いてますよね。OSもそうですよね。競争は続いているけど独占、というのは変な気がしたもんで。
盛者必衰の理 (スコア:2, 興味深い)
他のブラウザにチャンスがあるのですから、まだ結果を語るには早いですよ。
現状では確かにIEが勝ち組だとは思いますが。。。
それにしても、IEのバグによって他ブラウザにチャンスが生まれてるのですから、世の中うまく出来てるもんです(笑)
「IEにあらずんばブラウザにあらず」?
否、「奢れるものは久しからず」
そして再び競争が。
南無八幡大明神。閲覧者の利益と共に、編集者の利益も確保された競争でありますように。。。
Re:競争が必要 (スコア:1)
それに、そういう立場で「なんとしてもWebブラウザのシェアを制圧する」というモチベーションがあって、OSを売って金がメチャメチャある所と競争して勝つ方法があるなら教えてほしいです。
-----------------
#そんなワタシはOS/2ユーザー:-)
適正な猶予期間は? (スコア:2)
#わたしは十分に感じるけれども、
#組織内で大規模開発をしたことがないし、
#そもそも広範囲にソフトを使ってもらったこともないので。
Re:適正な猶予期間は? (スコア:2, 参考になる)
Re:適正な猶予期間は? (スコア:2)
選択肢の中では1か月以内が次点ですか。さすがに1か月以上放置してもよいと思っている人は極端に少ないですね。
この結果に従えば、今回の1か月も妥当ですか。……
Re:適正な猶予期間は? (スコア:0)
Re:適正な猶予期間は?一品生産の場合 (スコア:1)
ただ、OSまわりだと、一ヶ月以内には、潰して欲しいですね。
#昔は、レビジョンアップまで、バグを集めてましたね。
#FDとかCD-ROMみたいにメディアが必要でしたから、インターバルが長いのも仕方なかったけど
#パッチサイズさえ小さければ、WANからも落とせる時代なんですから
あなたわなにおしんじますか? (スコア:2, 参考になる)
げいつ様??私は何を信じたら良い子になれますか??
Re:あなたわなにおしんじますか? (スコア:2)
ちなみに、Microsoftの辞書には「神」==「ゲイツ様」と載っています。
よくわからないのですが、 (スコア:2)
Re:よくわからないのですが、 (スコア:2)
謎ですねえ (スコア:1)
Re:謎ですねえ (スコア:2)
IE6(6.0.2600.0000) + Q312461;Q313675 on Windows 2000 SP1
です。画像を表示する設定にもなってます。
もちろん、https://suspekt.org/secure.htmlにアクセスしたのは、http://suspekt.org/にアクセスした後です。
その後、さらに試してみましたが、IEを再起動して同じようにアクセスすると、必ず1度はセキュリティ警告が出るようです。しかし、一度セキュリティ警告が出た後は、IEを再起動しない限り、2度と警告は出ません。(1回目の警告に「はい」と答えた場合はもちろん、「いいえ」と答えた場合もです。) したがって、私の環境でも問題がないわけではないようです。
補足 (スコア:2)
ツール→インターネットオプション→詳細設定→セキュリティの
「□ 無効なサイト証明書について警告する」
にチェックが入ってました。
(このチェックはデフォルトで入ってるようです。)
Re:補足 (スコア:2)
IEのバージョンなんてみんな5.0/5.5/6.0みたいなメジャーバージョンの区切りでしか分かってないし、5.0から5.01へ行ってその後はSP1だSP2だ、とかそういうバージョンの移行の仕方をしているからよほどでないと把握不可能だと思います。VMとの組み合わせその他でさらに細かいバージョン違いがあるし。誰か分かりやすい図にまとめてくれないかなあ。
Re:補足 (スコア:3, 興味深い)
MSの技術情報にIEの細かなバージョン毎の一覧みたいなのがあったのを見た事があります。
OFFICEのどの版をいれているかでも細かなバージョンが違う様でIE5,IE5.5と一口に言っても
おっしゃる通りSPの違いやらなんやらでいーーーっぱいありました。
WEBアプリ作っている立場から言うとこんなにテストできるかぁ!って気持ち・・・
で、今MSのサイトで検索して探して見たのですがなんだか検索がまともに機能していない様で・・
肝心な時に肝心な物が機能しない。うーん実にMSらしいWEBサイトだ(笑)
重蔵。
Re:補足 (スコア:3, 参考になる)
[IE4]Internet Explorer 4.0 のリリースされたバージョンとビルド番号 [microsoft.com]
[IE5] Internet Explorer 5.0 のリリースされたバージョンとビルド番号 [microsoft.com]
同じバージョンのIE5でもどんなソフトをどんな順番で入れたかでも挙動が違ったりするから最低ですな。
IE6のバージョンって今どれくらいあるのだろう・・??
重蔵。
Re:補足 (スコア:2)
IE、IEと言うけど… (スコア:1)
---
"suspekt.org"へセキュリティで保護された接続を確立できませんでした。サイトのセキュリティ証明で問題が発生しました。(証明書の名前が正しくありません。)
表示、あるいは送信する情報は送受信中に他人に読まれる可能性があり、また目的の宛先に届かない可能性があります。
このページの読み込みをを続行しますか?
---
ちなみにMacOSX版ですが。
Re:よくわからないのですが、 (スコア:0)
#そうでないなら謝ります。
手元のIE 6.0.2600.0000.xpclient.010807-1148;Q312461;Q312675; ではこの穴は開きっぱなしのようでしたねぇ…。
バージョン上げるとか (スコア:1)
既知の穴は、さりげに塞いでおいて、「こんな凄いの出来ましたけど」とか。
もちろん追加した新機能にも穴は忘れない。
どんどんバージョンアップできるぞー。やったね。
今までもそうだっけ?
もう機能競争の時代ではないのでは (オフトピ) (スコア:2, すばらしい洞察)
バグというか・・・ (スコア:1)
どう悪用され得るか (スコア:5, 参考になる)
一般にhttpのページはDNS spoofing攻撃によって、 ニセのアドレスにアクセスさせることができます。 こうした成りすましを防ぐためにあるのがSSLのサーバ証明書です。 どんなにがんばってニセのページを作っても、 httpsのページについては、 証明書発行機関が署名してくれた本物のslashbank.jpのサーバ証明書をサーバに組み込んでおかないと、 ブラウザが「セキュリティエラー:ドメイン名の不一致」という警告を出すので、ニセ物とばれてしまいます。
今回のバグで警告が出ないのであれば、 ニセの https://slashbank.jp/login.jsp を用意して、 サーバ証明書にはどこかぜんぜん違うところのドメイン用のものを流用しておけば、 一見本物と違わないように見せることができてしまいます。
おまけに DNS spoofing は (スコア:1)
CERT(R) Incident Note IN-2001-11: Cache Corruption on Microsoft DNS Servers [cert.org]
Re:どう悪用され得るか (スコア:0)
勉強になりましたm(_ _)m
Re:バグというか・・・ (スコア:0)
あの人ならきっと! (スコア:1)
「またIEのセキュリティホールなんですが?」
「くだらない質問だ!セキュリティホールなんか見つけるから悪い」
[hi-ho.ne.jp]
--------------------
/* SHADOWFIRE */
Re:思わず (スコア:0)
この手の絵って、どういうフォントで見られることを仮定してるんですか? 昔は大抵「全角」「半角」が2:1幅で「全角」の縦横比が1:1であるような、 固定幅フォントを使えばちゃんと見えるものだと思っていたのですが。 どうもそれ
Re:思わず (スコア:1)
日本語Windowsの(と言うことはリコーのかな?)プロポーショナルフォントを仮定しているようです.
X上ではmonaフォント [tripod.co.jp]として同一のmetricを持った物が公開されています. FreeBSDなら/usr/ports/japanese/monafonts/ですね. もちろんMozilla等からも使うことができますので, 2ちゃんねるとは関係無しに一般的なプロポーショナルフォントとして愛用しています.
Re:思わず (スコア:0)
Re:思わず (スコア:0, オフトピック)
でも「first postのゴミ」ではないように思えます。
思わずゲイツに駆け寄って首を絞めて殺したくなった人、じゃないの?
その気持ちはよくわかるぞー。(笑)
でも絵文字はうざいと思うぞー。(笑)
というかMSネタの度にやられたらタマラン。
ということで-1モデレート自体には賛成。(笑)
Re:思わず (スコア:2, 参考になる)
「(他の投稿をよく見ていないために、)既に他の人が投稿しているのと似た
ような内容になっている」ものに対して使うべきものなのです。 [srad.jp]
だそうなので、素直に解釈すると、
「2chキャラが既に出ているので、*同じような*投稿はもう要らない」
という意味になりますね。
この手の投稿をゼロ個にしろという意味ではなく、一個にしろという意味になります。
つまり、2chキャラは1匹は居ても良いという意味に(笑)。
#誤訳は直すべきなのか、それとも本家と非互換でもいいじゃん!とすべきなのか、どう思います?>諸兄
>しっかりしてくれ。
「(各自が思う)しっかり」の結果がアレなのかも知れません。それだけのこと。
Re:思わず (スコア:0)
Redundantの訳の採点項目としてなら「ネタかぶり」とでもしますか?
簡潔に(Re:思わず) (スコア:1)
「既出」というのもよさそうな感じが。
俺的にボツ(Re:簡潔に) (スコア:0)
Re:俺的にボツ(Re:簡潔に) (スコア:1)
みんな意識してよけてるんだと思ってた。
Re:俺的にボツ(Re:簡潔に) (スコア:2)
既出の読み間違いから発生した 2ch 語らしいとは推測できるけれど、どういう風に使われるのか分からん。
-- wanna be the biggest dreamer