firefoxのiframeに脆弱性? 21
ストーリー by hylom
妥当な仕様かどうかは意見が分かれるところ? 部門より
妥当な仕様かどうかは意見が分かれるところ? 部門より
あるAnonymous Coward 曰く、
本家/.によると、Firefoxにiframeの処理に関するセキュリティ問題が発見されたようだ(Mozilla Security Blog)。
Firefoxは「http://www.good.com@evil.com/」のようなURLに遷移しようとする際に警告を出すが、iframe内でこのようなURLにアクセスされた場合は警告が出ず、フィッシングなどに悪用される可能性があるとのこと。
いっぽう、ComputerWorldによるとMozilla側はこの問題を「脆弱性」とは認識していないとのことで、修正も行わないそうだ。
つまり、第三者にBASIC認証の辞書攻撃をさせる事が可能って事? (スコア:2, 興味深い)
検証コードも何も書いてないのですが、コレってBASIC認証とかの回避に使えたRFC非準拠のブラウザ固有の拡張仕様ですよね?
読み込み完了時間とか読み込み済みサイズとかから辞書アタックの成否が解ったら嫌だなぁ
# ちなみにIEだと大分昔に封印されてレジストリ設定しないと無理です。 [microsoft.com]
Re: (スコア:0)
//<user>:<password>@<host>:<port>/<url-path>
と書いてありますし、rfc2396ではセキュリティリスク上NOT RECOMMENDEDですが禁止されたわけではありません。
どのあたりがブラウザ固有なのでしょうか?
封印されたのがブラウザ固有という事ですか?
>BASIC認証とかの回避に使えた
user:passwordを使って認証した事を「回避」とは言ってないと思いますので、
なにを回避できたのか興味深いです。お教え願えませんか?
Re:つまり、第三者にBASIC認証の辞書攻撃をさせる事が可能って事? (スコア:2, 参考になる)
ご自身で仰られているように、その表記は、あくまで"Common Internet Scheme Syntax"としての定義で"http"ではありません。
該当RFCでは
とあり、httpurlは、
と定義された物でしかなく、TelnetやFTPのようにuser:password@といった形式はありません。
(同様に~をHTTP URLに使ってはいけない等と言われるの理由もここ(上記にnationalが無い)に有ります)
また、Page.8の3.3. HTTPにも
と態々明記されています。
つまり、FTPやTelnetのように使えた方が便利であるというブラウザによるデファクトスタンダードとも言える拡張でしかないのです。
通常のアドレスバーや、リンクでは行われるユーザーによる「承認」もしくは「追認」を「回避」した事を問題視しています。
この事は、BASIC認証でユーザー認証を行う家庭内に存在する組み込み機器(ブロードバンドルータ)や、RAIDの管理コンソールといった物への思わぬ攻撃を引き起こします。
これらの機器は、出荷時に固定で既知のIDとパスワードが設定されてる事があり、変更を行っていない場合、攻撃サイトにアクセスしただけで意図しない動作を行わせる可能性があります。
もちろん最近の機器ならある程度対策されている物とは思いますが、今一度、「ユーザーに許可を求めずにログインを行う」というプロセスを行って良いのかを考え直す良い機会でしょう。
オフトピックになりますが、そろそろBASIC認証等からログオフするといったボタンがブラウザに付いていても良いと思うんですけどねぇ・・・
iframeのページそのもののURLですね (スコア:2, すばらしい洞察)
最初、iframe内のページにあるリンクをクリックして遷移したときに警告が出ないのかと思ったのですが、そうではなくて、iframeのsrc属性に書かれたiframeのページそのものがこのようなURLだったときに警告が出ないということなんですね。
たしかに、ソースを確認しない限り、どこにも見えていないURLだから「あなたをだまそうとしているかも」という警告は不要な気がしますね。
どこが脆弱性なんだ。
自衛策としては (スコア:1, おもしろおかしい)
一般人がアドオンで対策するならRequestPolicyでオッケなのかな? セキュリティのマニアならTab PermissionsとかでFrame自体をオフってるだろうけど。
それが許されるのなら・・・ (スコア:1)
Re: (スコア:0)
その挙動なら自由に変更できます。
が、そのことにすら気づけないようなアナタはそのままにしておいたほうがいい。
えーっと (スコア:0)
そんなiframe仕込まれる時点で、親フレームのサイトがおかしいだろ?
ってこと?
Re:えーっと (スコア:4, 参考になる)
それもあるし、そもそも警告を出すのはロケーションバーに表示されたURLを見間違うおそれがあるからだけどiframe内のページのURLはロケーションバーに出ないだろ、というのもある。
この問題に関するBugzillaのバグ
https://bugzilla.mozilla.org/show_bug.cgi?id=570658 [mozilla.org]
Re: (スコア:0)
これでこの話は終了かと。
Re: (スコア:0)
Facebookみたいにiframe多用するソーシャルアプリだと結構危険じゃないかな?
Re: (スコア:0)
踏んだFirefoxユーザのマシンに対して、なんら気付かれることなく何かを
注入することが可能って話だよね。
FlashとかPDFとかの脆弱性を使えば、iPhoneのSafari並みに危険な攻撃が
可能になるんじゃないかな。
単体では脆弱性じゃないと判断できても、他のプラグインの脆弱性と組み合わせると
ハイリスクな脆弱性になるのだから、Mozillaのセキュリティに対する意識が低い
というのがよくわかる事例ですね。
ぶっちゃけ、FirefoxよりIE8のほうがセキュリティに強いのは間違いない。
Re: (スコア:0)
flash埋め込み等にはない、iframeならではの危険性、それもurlに@が使用できることでの危険性が何かあるのでしょうか?
flash埋め込むよりiframe埋め込む方が簡単とか、flashオフにしてる人はいてもiframeオフにしてる人はいないとか、そんな話でしょうか?
どの様なことを想定した話なのかさっぱり分かりません。
Re: (スコア:0)
閲覧者へ全く表示もせず、注意喚起もせずに感染させることが
できるんじゃないの?
って言う話。
ていうか、そんな単純な話を想像しきれないの?
Re:えーっと (スコア:1, すばらしい洞察)
攻撃スクリプトは直接埋め込めないけどiframeなら埋め込み可能って話でしょうか?
でもそれってfirefox関係ないですよね。
iframeが埋め込み可能なのはそのサイトの問題で、iframeで他サイトのページが埋め込めるのはiframeの仕様で、攻撃スクリプトで感染してしまうのはブラウザのjavascriptエンジンやプラグインの問題で、BASIC認証式のurlをiframeで使ったときに警告が出ないのとは関係ないです。
というか、通常のurlのiframeで出ない警告が、@の付いたBASIC認証式のurlの場合に必要な理由はなんでしょうか?@の有り無しでどのような危険性が出るのでしょうか?何のための警告なのでしょうか?
そういうところの理解が大切だと思うんだけど。
Re: (スコア:0)
ホスト名を誤認したまま個人的な認証情報をロケーションバーで直接入力しない限り、フィッシングにはやはり繋がらないのでは?
因って、(#1812422) [srad.jp]で述べられているように警告ダイアログも前述の場合以外は表示する必要がないと思う
Re: (スコア:0)
よくわからんけど (スコア:0)
iframeのURLはフィッシング詐欺警告機能の対象外なんだっけ?
SafeBrowsing (スコア:0)
そうでないなら警告画面を表示したり、該当要素を除外して閲覧出来た方が良いと思う
そうであるならURLの形式がどの様であれ機能した方が良い
Re: (スコア:0)
マイコミジャーナルのiframeではあやしいURLチェックが機能しない [mycom.co.jp]の書き方だと、Safe Browsingでブロックしてくれるっぽい。
ラ王追悼 (スコア:0)
サイドバーの内容を上書きしちゃうんだけどコレの事?
http://twi-tou.rao.jp/ [twi-tou.rao.jp]