パスワードを忘れた? アカウント作成
3008 story

Opera 6.01以前にcookie/file/cache漏洩の脆弱性 60

ストーリー by yourCat
OperaでもJavaScriptは切るしかない? 部門より

jbeef曰く、"2002年5月15日付けでAndreas Sandblad氏によってBUGTRAQに投稿された記事によると、Opera 6.01以前に、cookieを盗まれたり、任意のローカルファイル (既知のファイル名のものに限られない) を盗まれたり、過去に訪れたページの一覧を知られたりするセキュリティホールがあり、15日にリリースされたOpera 6.02で修正されているとのこと。これはどうやら、同氏がBUGTRAQに2001年11月に報告していた問題の修正のようだ (exploit codeが異なって見えるが、原理は同一で洗練されただけに見える)。Opera 6.02のプレスリリース内に「security」や「vulnerability」の文字は含まれていない。また、Operaのセキュリティ・ページには、過去に発覚した脆弱性についての説明は見あたらず、冒頭の「Opera is one of the most secure browsers publicly available.」という通り一遍の謳い文句が寒々しい。
真にセキュアであるとは、暗号云々よりも、脆弱性にどう対応するかではなかろうか。" (…)

"欠陥の原因は、IFRAMEやFRAMEで開いたサブフレーム (例えば「foo」で参照したとする) に対し「foo.location="javascript:alert(document.cookie)"」のスクリプトを実行させたり、<A TARGET="foo" HREF="javascript:alert(document.cookie)">のリンクを踏ませたりしたときに、そのフレームが現在表示中のドメイン上で、このスクリプトが動いてしまうところにある。
この脆弱性パターンは古典的なもので、最も古いところでは1998年10月にGeorgi Guninski氏によってNetscape Communicator 4.5に対して指摘されたものが近いと思われる。Operaについては、スラッシュドットでも以前にJavaScripが原因の別の脆弱性の存在が話題となっている。こうしたJavaScriptによるドメインを超えたアクセスの欠陥は、1998年から現在まで実に多くのバリエーションがIEやNetscapeに指摘されてきており、今後、同様の問題が繰り返しOperaに指摘される可能性がある。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jbeef (1278) on 2002年05月16日 9時50分 (#93815) 日記
    ベンダーの製品がセキュアだと確信できるための条件:
    1. 脆弱性情報を公表しているか
    2. ユーザへの告知を積極的に行っているか
    3. 指摘に対して迅速に修正しているか
    4. 仕様の変更を必要とする修正を拒否していないか
    5. 指摘を受ける専用窓口を用意しているか
    6. 新機能の追加を慎重にしているか
    7. 過去の事例に学んで自力で脆弱性を排除しているか
    独断で採点してみました。あなたの採点は?
      Microsoft Netscape Opera Apple Adobe Macromedia
    1. ◎ △ × ○ × ◎
    2. ◎ × × ○ × ○
    3. ○ ◎ × × × ?
    4. × ◎ ? ? ? ?
    5. ◎ ○ × ○ × ◎
    6. × △ ? ? ? ?
    7. × △ × ? ? ?
    • ソフトウェアがセキュアだと確信できるための必要条件:

      1 ソースが公開されること。

      逆は真ならず。
      親コメント
    • 話がスパイウェアの件に流れてしまったので、本題に戻りますが、Microsoftの「1.」「2.」「5.」の◎二重丸印や○丸印って、Microsoftが昔から自発的にそうしていた物ではなく、ユーザーやセキュリティ関係のコミュニティ、競合相手から繰り返し指摘され批判され非難されつづけた結果として、産み出された状況ですよね。
      これは他社の◎・○でも同じような部分があると思います。
      この話題の本筋であるOperaについて考えれば、多くのユーザーや業界の注目を集めてたのはここ最近の事であり、ある意味まだそうした指摘・批判・非難にさらされていない立場でしょう。
      セキュリティホールがあるのは(そしてそれが放置されたり、正しい情報が伝えられなかったりするのは)感心しない事ですが、だから単純に「捨て」ではなく、問題を指摘し批判し非難しつづける事も必要だと思います。
      指摘・批判・避難される企業(あるいは開発グループ)の側は、その事で鍛えられより安全でより使いやすい製品を開発できるようにならなければ生き残っていけないという事を理解しなければならないでしょうし、そうした指摘・批判・非難に正しく対応できる能力もまた、「競争力」である事を認識すべきでしょう。
      親コメント
      • 同意しますが、それでも Microsoft のセキュリティチームが (本国側、日本語側とも) がんばっているのはもう少し評価してもいいんじゃないかな、という気がします。製品開発側のダメなところを必死に取り繕うわけで辛い部門ですが、ユーザに叩かれ、マスコミに叩かれ、の内容をそれなりに受け止めて努力している様は伺えると考えています。現実問題として、商用 Unix ベンダとはレスポンス、対策の公告、対策をユーザサイドにインストールするシステム状のアプローチ、どれをとっても比較にならないほど*現時点では*まともなのは明らかでしょう。

        今年はまだ、Microsoft 側のバグの出方がおとなしい、それに連中はお仕事である、ということをさっぴいても、ある程度の規模の OS のセキュリティ公告を流すのは半端じゃないです。率直に言って。

        親コメント
        • Microsoftのセキュリティ部門ががんばっている点についてはまったくその通りだと思います。ただ、それが「評価」に値するかどうかは、やっぱり最終的に「製品」として流通する物のセキュリティが確保されているかどうかにかかっている事であり、その点では「高い評価」を与えられる状況では無いと思います。
          もちろんそれと同じ事がOperaの開発チーム、セキュリティチームにも言える事で、少なくともインストールベースが増加し注目を集めている現下の状況では、過去と同じような(まともに動く物をリリースしていればそれで賞賛されたような)基準で評価される訳には行かないでしょうね。
          親コメント
        • どこにコメントをつけたものか迷いましたが、ここにいたします。

          おおもとであるjbeefさんのご意見に
          Operaのセキュリティ・ページには、過去に発覚した脆弱性についての説明は見あたらず、冒頭の 「Opera is one of the most secure browsers publicly available.」という通り一遍の謳い文句が寒々しい。真にセキュアであるとは、暗号云々よりも、脆弱性にどう対応するかではなかろうか。
          とあります。
          この点が重要だと思いました。話題がスパイウェアうんぬんということでのみ盛り上がってしまったのは残念な感じです。

          さて、この観点からMicrosoft社とOpera社とを、それらをとりまく状況をも含めて観察してみると、どうでしょうか。残念ながら、Operaブラウザをとりまくコミュニティは、まだまだ弱いように思います。alpさんのおっしゃるように、Microsoft社の努力は、ある程度評価してよいと思います。ただし、独占的な市場を持つがために、市場の圧力が逆にMicrosoft社にそのような方向性を持たせたというような観測もあるでしょう。むしろMicrosoft社に煮え湯を飲まされつづけてきた--しかもMicrosoft社製品を使いつづけざるを得ない--ユーザコミュニティの頑張りが大きいとも思います。

          今後、Opera社がどのように進んでいくのか?ユーザに煮え湯を飲ませ続けて墜落するのか、それともセキュリティ情報の開示に前向きに取り組んで、ユーザコミュニティの力をうまく活用していくのか。etc. 興味深く思っております。

          残念ですが、今はまだ、Norwayは寒いように思います。
          ----
          --
          Regards, Regards  (Slashdot.jp 無粋部)
          親コメント
  • OperaのPrivacy in the Opera 5 and Opera 6 desktop browsers [opera.com]の所を見れば、 The company which provides advertising services is Cydoor. とあって、検索エンジンで cydoor [cydoor.com] と Spyware [safersite.com] で検索すれば一杯出てくるけどね。 それでもOpera is not spyware [opera.com]と称している。Opera を信用だって? これで信用しろって言うの?

    ああ、わかったよ。Opera はスパイウェアじゃない。広告を表示するのに使っているサードパーティーのプログラムがスパイウェアなだけだから。

    • Operaはブラウズ画面とは別に右上に広告専用スペースがあっ
      てそこに広告が表示されているようですが、その部分はこち
      らがブラウズしているページとは関係無しに広告が送られて
      きます。
      この広告部分について広告の表示回数やクリックされた日付
      が送信されると思っていたのですが、そういう情報もスパイ
      ウエアの範疇でしょうか?
      スパイウェアの定義がよくわかってなくてすみません。

      個人的には相手が一方的に送ってくる広告の表示回数をカウ
      ントされたりそのクリック回数をカウントされたところでな
      んともないので、気にして無かったのですが、他の情報も送
      られたりしますか?
      --
      taka4
      親コメント
      • > 広告の表示回数やクリックされた日付が送信されると思っていたのですが

        CNET News.com [com.com]によると Cydoor, and others, often track computer users' activity online to show them targeted advertisements. とあります。 このサイトは詳しい [accs-net.com]ですが、 こういう情報 [cexx.org]もあって、ここの Insecure Features には

        • Transmits email address (if supplied) to Cydoor only.
        • Transmits user-supplied demographic information (if supplied) to Cydoor. Shared with others in aggregate.
        なんてのもあります。こうなると、私も Cydoor やスパイウェアに関して正しく理解しているとは言いませんが、少なくとも自分のPCに入れて"お付き合い"したいとは思いませんし、これだけ色々疑惑が報道されていれば、「疑わしいだけなら Cydoor を排除すべきでない」といった考えにはなれませんが、他の人には違った意見もあろうかと思います。
        親コメント
        • Operaの場合、Cydoorを使っている事とそれによって収集される情報が何であるかを公開していますね。でもって、本当にそれだけの動作しかしないのであれば、それは「スパイウェア」の範疇からは外れるでしょう。
          Transmits email address (if supplied) to Cydoor only.
          Transmits user-supplied demographic information (if supplied) to Cydoor. Shared with others in aggregate.
          についても"if supplied"という事ならOperaの説明 [opera.com]と矛盾は無いようですが....。
          それでも「とにかく何かの情報を広告のために送られるのはイヤ」という考え方があるのは理解できますし、それはそれで一つの態度だとは思いますが、それがすべての人に求められる態度だとも思えません。
          もちろんOpera(とCydoor)が「ウソ」をついていると考える事もできますが(それはIEやNetscapeやiCabやその他諸々にも同じ事が言える訳ですが)ビジネスとして「ウソ」のリスクに見合う話では無い様に思います。
          まあそこまで行けば個人個人で見かたも変わるでしょうが....。
          親コメント
          • by Anonymous Coward on 2002年05月16日 18時44分 (#94109)
            Operaの未レジストの状態でパケットのキャプチャーしてみたyo!!

            ※参考にするもしないも自由だが、鵜呑みにはしないでクレイ

            つかったのはここで紹介されていたAnalyzerってやつ
            「NewWebSession」ってのを監視してみたyo

            ・起動してマウスをぐりぐり動かしたりキーをいろいろたたいてみたけど、それをトリガーとしてパケットを送りつけるということはしてなかったyo
            ・起動して(数分くらい)何もしないで放っておいてもとくにパケットを送りつけるということはしてなかったyo
             (定刻何分にこっそりパケット送るって可能性はゼロじゃないけどne)
            ・Opera終了させたあとにしばらく監視してみたけど、おかしなパケットは送られてなかったyo
             (プロセス一覧みてみたけどそれっぽいのが残ってるってことはなかったyo)

            直感的な印象では、ふつーに広告クリックしたときにしかCydoorがパケット投げないんじゃないの? ってな感じ。
            (このことは告知されてるから問題はないよne?)
            ※この方面詳しくないから投げたパケットの具体的な解析は無理無理

            「裏でなにやってんだかわかんねーよ」とまでいいきるのはちと酷じゃねーの? 告知どーりのことしかしてねーんじゃねーの? ってのが感想
            親コメント
        • by zeissmania (3689) on 2002年05月16日 16時30分 (#94018)
          >少なくとも自分のPCに入れて"お付き合い"したいとは思いません
          あ~じゃ~、実際にユーザー情報を垂れ流していたことを隠していた実績のある、M$-Windowsを自分のPCにインストールするなんて、もっての他ですよね?
          親コメント
        • 英語力がなくて、この文章のどこがスパイウェアを指すのか
          わかりませんでした。

          訳があれば教えてください。
          --
          taka4
          親コメント
        • >「疑わしいだけなら Cydoor を排除すべきでない」といった考えにはなれません

           わたしももちろんそうです。
           利用者としては疑わしいものはとりあえず使わないほうがい
           いのはわかります。

           ですが、今のところ私の中では「疑わしい」までいかないん
           です。
           IEの方がよっぽど疑わしくって・・・IEって時々勝手にマイクロ
           ソフトのサイトに飛ばされたりしますよね・・
           メッセンジャーとかも勝手にインストールされてたりして。(いや、
           どこかで確認があったのかもしれませんが)

           ACさんが AD-aware でチェックかからなかったと報告してくれ
           ていましたが、私も同様にチェックしてみました。特になにかか
           りませんでした。

           ちなみにBabylonという辞書ソフトの方はなにかレジストリを書い
           たりしているようでした。

           あまり詳しくチェックできませんが、他に実際のスパイ的活動が
           あれば教えて下さい。
           疑わしくなれば、私も使用を止めたいと思います
          --
          taka4
          親コメント
          • つまり、Operaスパイウェア疑惑は一部の人間の誇大被害妄想という可能性濃厚ということでよろしいか?
            • >つまり、Operaスパイウェア疑惑は一部の人間の誇大被害妄想という可能性濃厚ということでよろしいか?

              そうだと思います。
              だって疑わしいと思う方が実際に調査して、
              この情報が漏洩していると言った具体的な内容が
              どこへいっても見受けられません
              ただ騒ぎたいだけなんではと思ってしまいます。

              気持ち悪いと
      • >個人的には相手が一方的に送ってくる広告の表示回数を
        >カウントされたりそのクリック回数をカウントされたところで
        >なんともないので、気にして無かったのですが、
        >他の情報も送られたりしますか?

        それを「しらない間にされちゃうかもしれないからスパイウェアは怖いのでは。
        その手の広告効果判定機能?
        • 「かもしれない」と言い出したら、あらゆるソフトウェアを疑わないと
          いけなくなっちゃいませんか?
          たとえば、Netscape やら IE やら iCab やらがブラウズ履歴をこっ
          そり送信していないとは断言できませんし。
          まあユーザの心構えとしては推定無罪よりはマシかもしれませんが。
          親コメント
        • あ、公開している「この情報を送りますよ」という
          内容以外を「コッソリ送っているぞ」という話でし
          たか。
          それは問題ですね。

          ・・・ところで、そういうことなら犯罪になりそう
          なのですが、なぜ訴えられないんでしょうか。
          証拠がないとかいうことでしょうか・・・

          そうであればIEにしてもNNにしても同じだと思うの
          ですが・・・
          --
          taka4
          親コメント
          • ・・・ところで、そういうことなら犯罪になりそう なのですが、なぜ訴えられないんでしょうか。 証拠がないとかいうことでしょうか・・・

            インストール前に表示される許諾文書に書いてあるからでは ないでしょうか。
            英語で書いてあって読まない人も多いでしょうけど。

            To make personalized advertising possible, users of the ad-sponsored software may provide ad-related profile information on strictly a voluntary basis. The Opera Software ASA

            • もちろん広告の表示とそれに付随する情報の送信を許す
              ような条件が課せられていることは、承諾して使ってい
              ますし、他人に勧める場合もそう言うようにしています。

              「広告に関連するプロフィール情報を送信しますよ」と
              書いていあるように読めるのですが、どのジャンルに興味
              があるかとか性別や年齢、配偶者の有無という情報を設定
              するようになっているので、そのことだと思っていました。

              この文章は「それ以外にも勝手にPC内の情報を収集し送信
              しますよ」という意味が含まれているのでしょうか?
              --
              taka4
              親コメント
    • いいたいことはわかるが、いきなりそういう切り出しだと話がずれないか?
      • > いきなりそういう切り出しだと話がずれないか?

        職場において用いるブラウザとして何を選ぶかは結構、重要な問題です。現状で最も多く使用されている IE は度々セキュリティーホールが見つかってパッチを当てる羽目になるなどで非常に手間です。IE よりもセキュリティホールの少ないブラウザがあれば、是非そちらに乗り換えたいと思っていました。

        一時期、Opera はその望みをかなえてくれるかと思った。「フリー版もあるし」と思った。しかし、 Cydoor の件を知った時、騙された様に思え、「冗談じゃない、こんな怪しいブラウザなんか、たとえシェアウェア代を払って Cydoor による情報送信を止めたとしても、裏で何をやっているか解ったものじゃない。職場では絶対に使用禁止だ!」と思いました。

        今回も、cookieを盗まれたりの対応状況を、あまりはっきりと自社Web等でユーザーに知らせず、Operaのセキュリティ・ページでは Opera がセキュリティ的に最も優れたソフトウェアであるかのような印象を与えてます。これがこの会社の「体質」なのでしょう。それで今では、消去法で Mozilla を応援するしかないかな、と思っています。

        親コメント
        • by Anonymous Coward on 2002年05月16日 12時16分 (#93879)
          まぁ Mozilla も自分でコードを追って見ない
          ことには「裏で何をやっているか判らない」
          ですけどね。

          ただ、昨今のソフトウェアのコードを全て追っか
          けて理解できるかっていうと、難しいでしょ。

          結局は自分の尺度で信頼するかどうかなのかも
          しれない。

          その根拠がたとえばオープンで大勢の人間が触って
          いるからというのもひとつの根拠ではあるし
          MSでないという点を根拠にする人も居るでしょうし。
          (それで満足するかどうかは人それぞれ)
          親コメント
          • なぜ、これだけ出来のいい、(オープンソースではない)企業製のソフトが広告を表示するだけで無料で使えるのか、そのカラクリを良く考えるのが肝心かと思います。

            前述のCydoor Spyware [safersite.com]を見ると、 Uninstalling a Cydoor companion product, such as Babylon, using its own uninstall procedure, does not remove all of the Cydoor files or remove all of the Cydoor registry entries. とあって、拙訳すると「Cydoor社を含んでいる製品、例えば Babylon(確かこれは翻訳ソフト)、自身が持っているアンインストーラーでは、Cydoor の全てのファイルやレジストリが削除されるわけではない」とあります。Opera は知りませんが。

            > コードを全て追っかけて理解できるかっていうと、難しいでしょ。

            スパイウェアかどうかは、プロトコルアナライザでも有ればコードを追いかけなくても判明するでしょう。だが私が知る限りプロトコルアナライザは高額だし、一般のユーザーが、既にスパイウェアが仕込まれていると解っているブラウザを、なぜ「シェアウエア代金を払ったら本当に情報をサーバーに送るのを止めるのかな」と確認する事までして使うメリットがありますかね。これなら既存の IE の方がマシだとさえ思えます。

            いずれにせよ、スパイウェアを仕込む様なブラウザにセキュリティーもへったくれも無い、というのが私の考えです。しかし、私は /. 読者が Opera を使うのは反対しません。もっとも、職場で使っている人がいたら、「その Opera はフリー版か?」と聞き、そうだと答えたら、「Opera の広告表示には Cydoor という技術が使われているが、それはスパイウェアである事を知っていたか?」と聞き、知らなかったと言えば、「職場のPCにスパイウェアなどをインストールする事は許されない」と言って回るだけですが。

            親コメント
          • ただ、昨今のソフトウェアのコードを全て追っかけて理解できるかっていうと、難しいでしょ。

            結局は自分の尺度で信頼するかどうかなのかもしれない。
            この点は重要だと思います(ただ、こういうことをユーザ全員が考えなければならないとしたら、正直面倒だと思ってしまうのですが……)。

            スパイウェアではなくセキュリティホールの話ですが、オープンソースなら安全という「多くの監視の目」の理屈について論じた ZDNet の記事 [zdnet.co.jp]を思い出しました(英語原文はこちら [com.com])。
            --
            鵜呑みにしてみる?
            親コメント
        • インターネットエクスプローラを使っていなかったとしても、 (職場でインターネットエクスプローラから乗り換えるブラウザを検討しているという文面から推測して) Windows を利用している時点で、 インターネットエクスプローラに関するセキュリティホールの修正は必須なのではないでしょうか?

          あ、誤解されそう(特に /. では)なので言っておきますが、Windows をつかうなと言っているわけではなく、

          >現状で最も多く使用されている IE は度々セキュリティーホールが
          >見つかってパッチを当てる羽目になるなどで非常に手間です。

          だと考えるのなら、そもそも Windows は使わないようにするのが賢明だ、と思ったまでです。

          親コメント
    • IEやNetscapeやMozillaのWhat's Related(日本語だと関連サイト?)なら問題ありません?
    • これってオフトピだと思うんだが?
      • > これってオフトピだと思うんだが?

        セキュリティホールにどう対応するかで真にセキュアかどうかが問われるというのがタレコミの趣旨ですが、スパイウェアを仕込むようではもはやcookie/file/cache漏洩の脆弱性を論ずる以前というか、論外であり、みなさんも使うのであれば Cycode に関しては疑惑を指摘する報道が沢山ある、という事を理解した上で使って欲しいと思いました。

        「IE より Opera の方が安全です。こちらに替えてください」と職場でアナウンスしてからスパイウェアの疑念が湧いたなんて事になったら、みなさんも「赤っ恥」では済まなかったのでは?

        親コメント
        • オフトピでは?と最初に書いたACですが、オフトピと感じるモデレータが誰も一人もいなかった事がちょっと気になったまでです。
          # スパイウェアはどちらかと言うとプライバシーの問題かな、と。

          ついでながら
          • よっぽどの事(例えばoperaの話から舞台のオペラの話になるとか)がなければアレゲなニュースと"雑談"サイトなんだし、容認しちゃどうですかね。
            これだけ盛り上がったんだから良いじゃありませんか、最近なんかモデの方も"興味深い"辛辣な意見とか脊椎反射でマイナスモデしてる場面もたまに見かけたりしますし。
            #是こそほんとにオフトピック。
  • 数日前にフライング [srad.jp]していた Linux版 6.0 が正式公開 [opera.com](プレスリリース [opera.com])されましたね。あとで実験してみよう。
    BAGTRAQには"Software: At least Opera 6.01, 6.0, 5.12 (win)"とあるので、大丈夫だとは思うけれど。
  • by Anonymous Coward on 2002年05月16日 20時00分 (#94152)
    ZDNN「第2回:ソフトウェアに紛れ込むスパイ」
    http://www.zdnet.co.jp/help/howto/security/p02/index.html

    スパイウェアとはどういうものか、調べる方法、対策など
    扱っていて、よさげな記事です。
  • ご存知とは思いますが、既に6.03版が公開されています。(※ Win32;en)
    修正点として2点挙げられているうちの一つがsecurity fixだそうです。しかし、あいかわらず詳細な情報は不明です。Opera Software社のホームページ [opera.com]などから、いろいろリンクをたどっっていっても、的を射た内容のページにはとべませんでした。それでこのようなコメントをした次第です。

    せめて、6.02版以前ではどのような危険性があるのか、回避策は、といったアナウンスはあってほしかったと思います。

    (もし、アナウンスがあったのでしたらごめんなさい。)

    ダウンロードについてはOpera社のダウンロードサイト [opera.com]をご覧下さい。
    --------
    --
    Regards, Regards  (Slashdot.jp 無粋部)
    • 訂正します。
      いろいろリンクをたどっっていっても、的を射た内容のページにはとべませんでした。

      たどりつけましたので報告します。
      危険性の要旨は「ローカルファイルの内容を読み取られる危険性がある」ということのようです。

      以下、たどり着き方です。

      まずOpera [opera.com]からCommunicateへとたどり、 Opera News Groups [opera.com]に行きます。ここにリストアップされているニューズグループ [opera.com](Opera news groups listed)の中からopera.generalを選択。するとOpera 6.03 released(Message-ID:
      4bu3fukmqhhen6ot9q3kc1vaalqirodotu@4ax.com)という記事にはじまる一連のスレッドがあります。ここを読むと、change.log [opera.com]へのポインタがあり、さらに、6.02版以前でのセキュリティ・ホールはGreyMagic Softwareのセキュリティ・アドバイザリGM#001-OP [greymagic.com]であることがわかります。

      ご連絡まで。
      ----
      --
      Regards, Regards  (Slashdot.jp 無粋部)
      親コメント
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...