Webkitにリンク先偽装が可能な問題 20
ストーリー by Acanthopanax
事前に確認しましょう 部門より
事前に確認しましょう 部門より
harden-mac MLでの情報によると、Webkitを使用したアプリケーション(Mail.appなど)に、画像に設定されたリンクのリンク先を偽装できる脆弱性があることがわかった。Safariにこの問題があることが先週報告されていたが(Secuniaのセキュリティ勧告SA17618)、Webkit全般の問題であることがわかったもの。SA17618では例として、以下のコードが挙げられている。
<form action="[malicious site]">
<a href="[trusted site]"><input type="image" src="[image]"></a>
</form>
[image]からのリンク先は、ポップアップやステータスバーでは[trusted site]と表示されるが、クリックすると実際には[malicious site]へアクセスしてしまう。
SecuniaのSA17618では、危険性の評価は最も低い“Not critical”となっているが、Webkit自体に問題があることを報じているSecure OS Xの記事では、フィッシングに悪用される恐れがあるとして、HTMLメールでのソースの確認、個人情報を入力する際のサイトの確認、同じパスワードを使い回さないといった基本的な対策を提示している。
ちなみに (スコア:3, 興味深い)
Mac 版 IE では、カーソルを画像に重ねるとリンク先が「フォームの送信」と表示されます。
Re:ちなみに(素人の感想) (スコア:3, おもしろおかしい)
一般に文法的厳密さばかりが求められているけど、
その文が何を意味するかには、多くの人が鈍感ということなのかな。
ある文書の意味が判断しにくい状況を招く文法で律された世界、
というものを、扱いづらくて皆困っている、という現実なのでしょうか。
どうしてこうなっちゃったのでしょうね。
と、セキュリティ/言語学/...の素人の私の目には、この手の「脆弱性」の話題がでると、それは脆弱なんではなくて、文学作品解釈上の問題なように写ってしまうこともあります。
一つの意味には一つの表現しか許されないような体系を築くのと、一つの表現には一つの意味しか許されないような体系を築くのは、この場合、どちらが難しいのでしょうね...
-- LightSpeed-J
とりあえず (スコア:3, 参考になる)
偽装対策にはなります。
http://hetima.com/safari/stand.html
2.0b11 - 2005-11-24
・フォームの送信先をステータスバーに表示する機能を追加(デフォルトはオフ)
IEやOperaも (スコア:2, 参考になる)
IEやOperaにステータス・バーを偽装できる問題 [nikkeibp.co.jp]
Macセクション的にはWebkitとsafariの問題ですが、元々(Windowsの)IEやOperaで発見されたお話とのこと。
IE & Opera もまずい (スコア:2, 参考になる)
IE & Operaもまずいようですし、「script off」で安心しきっていた私には、かなりショッキングな二ユースです。
#未パッチなこれ [itmedia.co.jp]も気になるところであり、まとめて、(トップへ)昇格してもいいような価値のあるニュースであると思うのですが?
--
M1の後に思いついた間抜けなので、AC
一瞬 (スコア:1)
Objective-Cのコードが直接書けるのかと思った。
むしろ (スコア:1, 参考になる)
(また、コンテクストメニューにリンクを開く系の項目は表示されません)
つまり、ステータスバーにリンク先が表示されること自体おかしいわけで、
何も偽装をしないときよりもかえってフィッシングだと気付く確率が上がってしまいますね。
Re:むしろ (スコア:2, 参考になる)
やる気の無い実証ページ [geocities.jp]どうぞ。
Yahooのロゴが、実はフォームのボタンです。
FirefoxではYahoo! Japanに飛ぶけど、IE6だと/.jpに飛びます。
Re:むしろ (スコア:2, 参考になる)
http://d.hatena.ne.jp/t_trace/20051123#1132752684
下記を記述したテキストファイルをユーザスタイルシートとして登録すれば、Safariでは上記実証ページの画像が消えます
form a input[type=image]{
display:none ! important;
}
この対策をキャンセルする方法もあるかもしれませんが一時しのぎにはなるかもしれない
Webkit全体で使えるスタイルシートを設定する方法があればいいのですけどね
WinIEでも有効な方法 (スコア:1)
Win IEでも限定的対策 [hatena.ne.jp]
form a input{
display:none ! important;
}
Re:むしろ (スコア:1, 参考になる)
form タグの存在が不明なので (スコア:2, 参考になる)
KDEは? (スコア:1, 興味深い)
ステータスバーなんかどうでもいい (スコア:1, すばらしい洞察)
Re:ステータスバーなんかどうでもいい (スコア:2, 興味深い)
ジャンプしちゃいけません。
「踏ませる」ことを目的とした偽装もあります。
META refreshでさらに別ページへの誘導、JavaScriptでのタイトルバー偽装、セキュアでないクッキー、IPのぶっこ抜き、生きているメールアドレス(やアカウント)を収集するなど、ただ「踏むだけ」でできる事もそれなりにイヤんなものがありますから、悪意を持って作成されたリンクは踏んじゃいけません。
また、入力フォームがある場合、画像のクリック(ヘルプアイコンとか、トップページに戻るとか、テキストに偽装した画像など)で入力フォームの中味を送信する事もできます。
Re:ステータスバーなんかどうでもいい (スコア:0)
Re:ステータスバーなんかどうでもいい (スコア:0)
ステータスバー自体表示されていないのでは
なかったでしたっけ
Re:ステータスバーなんかどうでもいい (スコア:0)
確実にマズそうなケースを一つ。
リンク先がWebブラウザで表示できない物の場合、遷移先のURLは確認できないですよね。実行モジュールのダウンロードだったりしたら強力。ハッシュを確認しろとか、署名とか、SSLとか、そういう話はあるけど、現実としてこれは危ないような気がする。
また、一般論として、セキュリティの確保のためには複数の方法を組み合わせて、それでやっと何とか上手くやってるのが現実。1個欠けても問題ないなんてことは言えない。
Re:ステータスバーなんかどうでもいい (スコア:0)
ステータスバーで判断するなんて馬鹿のやること。
おーい! (スコア:0)
Firefox以外、軒並ヤバいぞ!