主要タブブラウザに共通のセキュリティホール 128
ストーリー by GetSet
影響範囲は広い 部門より
影響範囲は広い 部門より
greentea曰く、"CNET Japanの記事によると、SecuniaはMozilla Foundationの複数のブラウザ、Opera、Linux用のKonquerorなどのタブブラウザ、IE用にサードパーティが開発する、タブブラウザ機能を追加するためのプラグインに、共通する2つのセキュリティ問題が見つかったと発表した。
このうち1つの欠陥は、タブウィンドウで悪質なウェブサイトを開くと、そのサイトから別のタブウィンドウに入力された情報にアクセスされるおそれがある、というもの。またもう1つは、悪質なウェブサイトが、別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックスを表示することができてしまう、というものだ。
Secuniaではタブ機能つきブラウザの利用者に対し、JavaScriptを使用不可にするか、あるいは十分信頼できないウェブサイトにアクセスする際には、別のタブウィンドウで信頼できるサイトを開いたままにしておかないように奨めている。
Konquerorは19日(米国時間)にリリースした最新バージョンで、Firefoxはあと2週間ほどでリリース予定のFirefox1.0でこの問題は解決される。
また、同記事によると、Microsoftのブラウザについては最新アップデートでも回避不能な脆弱性も報告されているそうだ。"
タブじゃなくても危険 (スコア:3, 参考になる)
target="_blank"などがつけられていれば(主要な視覚的ブラウザではクリックしただけでデフォルトの動作では新しいウインドウを開くので(長いただし書きだ))なおさら危険です。
#target="_blank"なリンクはデフォルトで視覚的に区別がつくようにするべきだよなぁ。
Re:タブじゃなくても危険 (スコア:2, 参考になる)
# デフォルト云々は同意です。
/* 新しいウィンドウを開きそうなところにマークを表示 */
a[target="_blank"]:after
{
content: "W";
color: #fff !important;
background: #000 !important;
border: thick #dd0 solid !important;
font-weight: bolder;
font-size: larger;
}
Re:タブじゃなくても危険 (スコア:1)
というわけで、target="_self"の方も別な表示に変えておくことで、ページ標準のtargetが"_self"でないかもしれないということに気付く可能性があります。
Re:タブじゃなくても危険 (スコア:1)
Target Alert [bolinfest.com]
試してみた (スコア:3, 参考になる)
DonutRAPT/Firefoxで影響が確認できた。
しかし新しいタブをアクティブにする設定にはしてないからいまいちインパクトに欠ける。
http://secunia.com/multiple_browsers_form_field_focus_test/
同じくDonutRAPT/Firefoxで影響が確認できた。
Citibankのページで入力したはずの文字がどこかへ消えるので妖しさ抜群。
おまけ:FirefoxならどうしてもJavaScriptを有効にしなければ
ならない時の為に以下の内容をprefs.jsに書いておくといいかも。
focus乗っ取り攻撃への一定の(完全かは知らん)防御効果がある。
Opera7.54/Win でも試してみた (スコア:3, 参考になる)
http://secunia.com/multiple_browsers_dialog_box_spoofing_test/
Opera7.54/Winで影響を確認.
ただし,リンクの上にマウスカーソルを置くだけでダイアログが開いてしまうので,うまく誘導しないとすぐにバレそうだ(他のブラウザでは,リンクを開くまでダイアログが開かないのかな?).誘導に成功して,さらに新しいタブをアクティブにする設定にしていれば,CitiBankのダイアログと見間違えることは十分ありえる.
http://secunia.com/multiple_browsers_form_field_focus_test/
Secuniaのサイトにもあるように,Opera7.54/Winでは全く何も起こらない.
_.. ._._._ _... ._._._ ._. ._._._
物は試しだ。コメントのしきい値を2にしてごらん
Re:試してみた (スコア:1)
それにしても、Mozilla Projectの対応は早いですね。
Super Souya
Re:試してみた (スコア:2, 参考になる)
細かいようだけど、Bug 124750 [mozilla.org]の報告は2002/2/10で、80を越えるdupを数え、尚且つ仮パッチ作成は2004/9/27です。単にタイミングがよかっただけではないでしょうか。現在のが仮パッチというのも加味しないと (trunkには入ってない)。
つまりFx 1.0 (Gecko/1.7) はいいけど1.1 (Gecko/1.8) はどうなるか、と。半年は先のことを心配しても仕方ないんだけどね…。
それは兎も角、 document.createEventを用いた問題 (Bug 265456) [mozilla.org]が残ってました。Fxは明日 (2004-10-23) 付けのビルドで、とりあえず両方とも問題なくなるようです。
Opera7.6で修正するとの発表 (スコア:3, 参考になる)
なお,同ページでは,「重要な情報を扱うサイトへ移動する際に,信頼できないサイトに置かれたリンクを利用するべきではない」ともアドバイスしています.
_.. ._._._ _... ._._._ ._. ._._._
物は試しだ。コメントのしきい値を2にしてごらん
Javascript (スコア:1, すばらしい洞察)
Re:Javascript (スコア:2, 参考になる)
と言う認識を持つことが大事なんでしょうね。
私はIEコンポーネントのSleipnir使いなのですが。
Sleipnirの場合,ブックマークごとに
JAVAScript,JAVA,ActiveXなどのオンオフが設定できるので,
よく行くサイトのみオンにして,デフォルトはオフにしています。
IEコンポーネントブラウザはIEのセキュリティホールを継承しますが,
下手に他のブラウザを使うより,この方がいいかな,と思っています。
(そんなことはない,って方はご指導ください)
#でも,今気づいたけど,Sleipnir,Geckoに正式対応していますね。
#GeckoコアでのSleipnirが最強なのかな?
Re:Javascript (スコア:4, おもしろおかしい)
同意。ヤバスクリプトという名前でも広めましょうか?
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:Javascript (スコア:2, 興味深い)
というわけで、以前からドイツ語圏等に「ヤバスクリプト」と発音している人はいたのではないかと想像します。
Re:Javascript (スコア:2, 興味深い)
ドイツ語圏だと、v は英語の f の発音で使われることが多いから、Java は「ヤファ」になると思う。 Javascript だと「ヤファシュクリープツ」て感じ?
# Oliver さめに聞いてみなくてわw
むらちより/あい/をこめて。
Re:Javascript (スコア:2, 参考になる)
Re:Javascript (スコア:1)
あったら欲しい。
Re:Javascript (スコア:1)
HPに窓の杜の記事 [impress.co.jp]へのリンクがあって,
正式バージョンで対応のようなかかれ方をしていたので。
お恥ずかしい。
Re:Javascript (スコア:1)
まぁMozillaなりFireFoxなりにタブブラウザ拡張を突っ込めば、ほぼ同等のことができるんですが。ただLunascapeにある「このタブの設定を次タブに引き継ぐ」機能さえ移植されれば…。新しいウィンドウを開くタイプのWebサイト(たとえば東京三菱ダイレクト [btm.co.jp]とか出光カード [idemitsu.co.jp]とかログオンが必要なサイトに多い)だと、この機能が無いと不便なのです。
Re:プリペイド携帯と同じなんだよ (スコア:2, すばらしい洞察)
統計取ったら、
「実際に犯罪に使われたホームページの90%以上にJavaScriptが使われていた」とか出るぞ。
2ch.netの掲示板にもJavaScriptは使われている(た?かな)しな。
#禁止すべきかどうかはともかく。
Re:Javascript (スコア:1)
でっち上げてみた。画像自体のリンクは機能しないけど。
Name = "YOL view large image"
Active = TRUE
Multi = TRUE
URL = "www.yomiuri.co.jp/"
Bounds = "<SCRIPT LANGAGE="javascript" * </NOSCRIPT>"
Limit = 700
Match = "*photoWinOpen\('http://www.yomiuri.co.jp/zoom/([0-9A-Z\-]+\.htm)\1'*"
Replace = "<A HREF="http://www.yomiuri.co.jp/zoom/\1"><font class='SS'>写真の拡大</font><B style='background-color:#dddddd'><font class='Md'>+</font></B></A>"
それは兎も角、こうしたときにJavaScriptでポップアップウィンドウを開きたいのはわかるんだけど、スクリプトがなくても機能するようにしてくれてもいいと思うけどねぇ。
Re:矛盾 (スコア:1)
Re:Javascript (スコア:1)
Re:Javascript (スコア:1)
実際のところ心証はどうなんでしょうねぇ。
Re:Javascript (スコア:1)
特に、JavaScript が IE 以外に対応していないときなんて、適当に書き直して Mozilla でも見られるようにしたりします。
Re:Javascript (スコア:1)
ローカルで何かやってるだけかよ…
んなもんクライアントが何しようが勝手じゃないか…
だいたい、ちゃんと規格どおりにHTMLが動くブラウザでアクセスしてくる保証もないんだし。
それに、それが有罪なら
javascript:document.body.innerHTML=document.body.innerHTML.replace(/ー/g,'キタ---(゜∀゜)---');focus();
も有罪ってことになるんかなぁ。
1を聞いて0を知れ!
Re:おふとぴです (スコア:2, おもしろおかしい)
Re:Javascript (スコア:1, すばらしい洞察)
使わないとまともにみられないサイトも結構な数あることが問題なわけで。
Windows Updateとか。
IEではセキュリティゾーンの設定がドメインレベルでしか行えないのも問題かと。
Re:教えてエロい人 (スコア:1, 参考になる)
少なくとも「ダウンロードして告知」までなら。
常時JavaScript・ActiveX無効の環境で試したことがありますが、きっちり「更新の準備ができました」と来ました。
「自動でインストールする」とどうなるかはちょっと怖くて試せていません。
#まだSP2入れる準備が出来てないのでAC
Safariも。 (スコア:1, 参考になる)
http://internet.watch.impress.co.jp/cda/news/2004/10/21/5090.html
CNETもITMediaもその記述はないです。
Re:Safariも。 (スコア:3, 参考になる)
Safariでは、タブの場合はこの問題は起きないものの、別ウィンドウでは同様のことが起きます。確かに簡単に再現できました。
JavaScriptのpromptウィンドウが、どのwebページから呼び出されたものかがユーザーには容易に区別がつかないため、最前面ページのものと思ってしまう、という点は同じです。
Re:回避策 (スコア:2, 参考になる)
という方針でいくなら(一般的なフィッシング対策に加えて)、
・ディスクキャッシュを切る。
・重要な情報を入力するサイトに行く前後でブラウザを落とす。
なんてことになるのでしょうか。
不便にはなるけれど、銀行とかクレジットカード情報とかに限定すれば、
慎重を期することは可能かも知れません。
安全性の疑われるサイトを開く時には、以前からこれに近い策を取っていますが、
もっとパラノイアになった方がいいのか…
Re:回避策 (スコア:1, 参考になる)
たとえばここ [shinseibank.com]とか。
追加 (スコア:1, 参考になる)
銀行に比べれば危険度は低いかもしれないけど・・・でも、両方ともお金が絡むような?
#自分が使ってるとこを並べただけなのでAC
新生銀行はセキュリティがずさんなので金を預けるべき (スコア:1, おもしろおかしい)
Re:新生銀行はセキュリティが世界一!ずさんなので金 (スコア:1)
1を聞いて0を知れ!
Re:回避策 (スコア:1)
「エクスプローラーではダブルクリック、インターネットエクスプローラーではシングルクリック。普通のアプリケーションではダイアログボックスに入力していい、Webだとダメ。……」
Re:回避策 (スコア:1, すばらしい洞察)
既に新生銀行のサイトが紹介されてますが
こういうサイト設計って設計者の常識を疑ってしまいますね
最近流行りのフィッシング詐欺に狙って下さいと言わんばかり
もちろん変なリンクを辿らなければよいのですが
そしてフィッシング詐欺が流行っているのにこういうサイトを
いつまでも銀行が運営している事もどうかと思います。
運営サイドから指摘してあげたりしないのでしょうか?
(銀行側が予算が無いから放置とかありそうですけど
セキュリティに無頓着な銀行に金預ける気にはなりませんよね)
どこの設計でどこが運営してるんよ?
Re:回避策 (スコア:3, 参考になる)
地銀はNTTデータ(ANSER-WEBとか)やメーカーの共同システムを使ってる場合が多いです
メジャーどころでポップアップするところだと
東京三菱銀行 [btm.co.jp] Weblogic使った自社開発っぽい
ソニー銀行 [moneykit.net] 富士通のネット銀向け勘定系パッケージ
ジャパンネット銀行 [slashdot.jp] 同上
アイワイバンク銀行 [iy-bank.co.jp] 旧三和銀行の勘定系パッケージ
イーバンク銀行 [ebank.co.jp] Weblogicベースの自社開発
シティバンク [citibank.co.jp] 子会社のiFlex solutions製のFlexCube
新生銀行 [shinseibank.com] 同上
横浜銀行 [boy.co.jp] 多分日立系
この中でワースト3を挙げるなら、横浜銀行、東京三菱銀行、ソニー銀行ですね
この三行は、いずれもポップアップで開いたウィンドウのURLバーが表示されないので、ぱっと見正規のサイトか確認できません
フィッシング詐欺への注意喚起も、横浜銀行は電子メール詐欺にご注意 [boy.co.jp]というドキュメントが、東京三菱はセキュリティに関する重要なお知らせ [btm.co.jp]という注意文書が掲載されていますが、非常にわかりにくい場所にある上に内容も不十分きわまりないです。ソニー銀行にはそれすらもありません
さらに東京三菱は、利用手数料を徴収するくせに個人情報を他行・他社のものを含めてすべてよこせ [btm.co.jp]という素敵な利用規定を持つMTFG NET PLAZA [btm.co.jp]というアカウント・アグリケーション・サービスをやっていますが、このログイン画面もポップアップで開く仕様です
最悪なのは、横浜銀行が使っている共同システム(ib-center.gr.jp)で、同じものを京都銀行がかつて使っていたので私自身もよく使っていたんですが、ログイン画面以降のポップアップはURLを確認しようとしてもスクリプトでcontextmenuを表示禁止にしていて、Windowsで右クリックすると「右クリック禁止」と表示されてcontextmenuが開けません
#京都銀行は、ANSER-WEBに移行しているので現在はib-center.gr.jpは使っていません
Re:回避策 (スコア:1)
そんなところと合併して大丈夫か? UFJ [ufbank.co.jp]
Re:回避策 (スコア:2, 参考になる)
とあって、MTFG、BTM、MTBC、三菱証券の三社が共有(Point1)、「お客さま個人のお取引情報を参考にして、お客さまにとってお役に立つと思われるMTFGが取り扱う金融商品・サービスや、金融マーケット情報などをご案内差し上げ」るために使用(拒否も可能)、統計情報としての使用(必須)する(Point2)とある
Re:回避策 (スコア:1, 興味深い)
フィッシングしたらおいしそうだな~
Re:回避策 (スコア:2, 参考になる)
シティバンクも、ダイレクトのWebサーバはIISで走ってたと思います。DBもWindowsかどうかは知らないけど(FlexCube自体はWindowsでもUNIXでも走るけど)
#なお、米国のシティバンクはFlexCubeベースじゃなくてメインフレームベースのCOSMOSなんで一応
Re:回避策 (スコア:1)
感染するとネットワーク上のIISを探して穴をついて感染し
そのサイトをIEで見たユーザのさらに穴をついてトロイを仕込んで
偽銀行サイトに誘導しログインさせて一丁あがりってな感じの
ハイブリッドウィルスとフィッシングを融合させた超ハイブリッド(?)な
ウィルスフィッシングがそのうちおきそうですね。
IEでしかうまく動かないオンラインサービスが多いのは
自衛できなくなるのでちょっと困りますね。
重蔵。
うゎぁ、ひどい (スコア:1)
発行先:directa03.shinseibank.co.jp
なんて証明書を提示して説明するような、
「4.当行ウェブサイトの安全性の確認方法」じゃありませんね。
Copyright (c) 2001-2014 Parsley, All rights reserved.
ああ、勘違い (スコア:1)
同意…というより、いつもそうしていました。
Sleipnirを使用していて、その現象はすでに経験済みだったので、
今日の今日まで「仕様」だと思っていました。
「し、知らんかった…。セキュリティホールだったのかよ。」
記事を読んだ正直な感想です。
Re:I'm a gnomer (スコア:2, 参考になる)
風博士でやっても再現した。
Re:ブラウザのタブウィンドウは使い難い (スコア:1)
Re:こういう話題になると (スコア:1)
一緒くたにせんでください。JavaScript、Java、ActiveX は、それぞれかなり違う物です。
# JScript も入れておいた方がいい?
Re:こういう話題になると (スコア:1)
# いろんな意味で。
Re:ジーク・モジラ (スコア:2, おもしろおかしい)
「お兄様もお甘いようで」
とOpera辺りに頭打ちぬかれる、と。