パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

はてなブックマークの新しい登録ブックマークレットは危険」記事へのコメント

  • オフトピだが (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2008年11月28日 21時02分 (#1463780)

    最近はGoogleへの激しい攻撃を行っている高木先生が、今度は最近リニューアルされたばかりのはてなブックマークに噛みついている。

    子供じゃないんだからこういう書き方やめなさいよ。ウィキペディアじゃあるまいし内輪だけで面白がるサイトじゃないでしょう。そうしたいのかもしれないけどさ。
    • by Anonymous Coward
      言ってることの前半は同意ですが、最近ここではウィキペディアを叩くのが主流なんですか?
      やたら叩いてる人を見かけるんですが。
      • by Anonymous Coward

        最近ここではウィキペディアを叩くのが主流なんですか?やたら叩いてる人を見かけるんですが。
        こういうja.wikipedia的な情報リテラシーの低い捉え方をするから叩く人が出てくる。
    • by Anonymous Coward
      ウィキペディアがそういうサイトである認識自体
      スラドの内輪的話なんだからいいんじゃないの?
  • ログイン (スコア:4, 参考になる)

    by yukichi (12361) on 2008年11月28日 15時37分 (#1463546) ホームページ
    http://b.hatena.ne.jp/naoya/20081126#bookmark-10990170 [hatena.ne.jp]

    > naoya bookmark2 ログインのところは修正しますね。後半についてはもう少し考えます。 2008/11/26

    とのことです。
  • 部門名 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2008年11月28日 16時50分 (#1463604)
    >気をつけないと……部門より。

    高木先生に叩かれないように、という意味に聞こえて仕方が無いw
    #それだけなのでAC
    • by Anonymous Coward
      それだけ先生の抑止力が高い、ということなら良いことではありませんか。
  • しかし擬似ウィンドウを使った『偽者ページ』が出てきた場合、どちらが「信頼されやすいか」という問題が別にあるのではないかと…

    「かっこいいデザイン」は無条件に信頼されやすい、という傾向があるとするならば、
    『本物よりも偽者の方が信頼されやすい』
    という困った状態を作り上げてしまうだけではないかと…

    # 擬似ウィンドウのバーに「嘘のURLを表示する」ぐらいはやるでしょうし…

    .

    じゃぁ、どうすればいいのか、という意見は思いつきません。

    なにしろ偽者というのは大まかに3種類あって、
    • 本物そっくりである
    • 本物としか思えないほどかっこいい(本物よりもかっこいい)
    • 偽者とは思えないほど、かっこ悪い

    もちろん、それぞれ「どうやってユーザーを騙すか」は違うわけですが…こうなると、「見てくれ」でどうにかするのは無理じゃないかと…
    --
    fjの教祖様
    • >なにしろ偽者というのは大まかに3種類あって、
      ・マフラーと手袋の色が違う。
      ・リベットとジャバラ関節。
      ・悪役顔。
      親コメント
    • by Anonymous Coward
      だから、どうすればいいかは、ちゃんとソース記事に書いてあるじゃないの。
      なんで読まずにテキトーなこと書くんかね。
    • by Anonymous Coward
      > 擬似ウィンドウのバーに「嘘のURLを表示する」

      うわー、なんかものすごい危険な大発明しちゃってませんか?
      ブラウザごとにそれぞれの標準スキンそっくりの嘘URL表示することだってできちゃいそう。
      • ???

        擬似ウィンドウを「本物のポップアップウィンドウのように見せかける」事が可能(もちろん、ブラウザ画面の外には動かせませんが)なのはもちろん、
        「本物の画面の上に、フレーム無しの擬似ウィンドウを開く事で、一見普通の入力ボックスに見えるのに実は偽装」
        な状態だって作れるはずですが…
        # 確か、そういうデモってもうあったと思うんだが…

        なので、高木先生が「はてなのインターフェースは駄目」というのはその通りですが、じゃぁ直したら偽装されない/されにくいのかといわれると…全然そうは思えないです。

        ましてや、「本物よりも本物らしい」という騙し方がある事を考えるとね。
        # 「ログインの際にかっこよく専用ウィンドウが出るのは、きっと本物だからだよ。」
        --
        fjの教祖様
        親コメント
        • by Anonymous Coward

          「本物の画面の上に、フレーム無しの擬似ウィンドウを開く事で、一見普通の入力ボックスに見えるのに実は偽装」な状態だって作れるはずですが…

          その時アドレスバーのURLは攻撃者サイトなのだから、偽装になってませんが??

          (本物サイトの上にフレーム無しの疑似ウィンドウを出すことは不可能ですし。)

          • その時アドレスバーのURLは攻撃者サイトなのだから、偽装になってませんが??

            .jsファイルをのっとるだけでいいのだから、URLは攻撃者サイトになりませんが?

            なんかものすごく攻撃方法を都合のよいものに限定していませんか?
            --
            fjの教祖様
            親コメント
            • .jsファイルをのっとるだけでいいのだから、URLは攻撃者サイトになりませんが?
              Webプログラミングには疎いので本当にそういう攻撃が可能なのかどうか私にはわかりませんが、「.jsファイルをのっとる」ということはつまり本物サイトが改竄やらXSSやらで既に攻撃を受けている状況なわけですよね。
              もしそうだとすると、仰る通りユーザの被害を防ぐことは難しいかもしれません。

              ですが、そもそも「安全なWebサイト利用の鉄則」 [aist.go.jp]やブログでの啓蒙など高木さんの一連の活動において防ごうとしている被害は、大雑把に言うと「本物サイトだから安全、と思っていたら実は偽サイトだった」ことに起因する被害であって、「本物サイトだから安全、と思っていたら実は本物サイトなのに安全じゃなかった」ことに起因する被害はサポートの範囲外というか、別途対処すべきことというスタンス、と私は理解しています。
              参考までに前述の「安全なWebサイト利用の鉄則」のFAQ [aist.go.jp]の一部を引用しておきます。(強調は引用者)

              Q5: この鉄則が守られていれば必ず安全なのですか?

              残念ながらそうではありません。たとえば次の場合には安全ではなくなります。
              • 利用者が使用しているWebブラウザに脆弱性がある場合
              • 本物サイトに脆弱性がある場合
              • 本物サイトのサーバが侵入され、コンテンツを改竄されている場合
              • 利用者のパソコンがコンピュータウイルス(一部のスパイウェアを含む)に感染している場合
              ブラウザベンダーは脆弱性を修正するべきです。サイト運営者はサイトから脆弱性を排除するよう努力し、侵入されない管理体制を築くべきです。利用者は、脆弱性の修正されたブラウザを使用し、ウイルスに感染しないよう注意するべきです。そうしなければ、インターネットを安全に使うことはできません。この鉄則は、それらが守られているという前提の上での考え方を示したものです。
              親コメント
            • by Anonymous Coward

              .jsファイルをのっとるだけでいいのだから、URLは攻撃者サイトになりませんが?

              そんなことは不可能ですよ。
              いい加減なことを言う前に、実際にやってみたらいいでしょう。

              • 自分がやり方を知らないからと言って逆切れをしないように。

                あなたの主張が正しいなら、擬似ウィンドウも安全です。

                擬似ウィンドウが危険なのは「何らかの方法で、擬似ウィンドウが表示している情報」が『はてなが意図している情報』と異なっている場合に限定されます。これは大雑把に3箇所しか攻撃ポイントはありません。

                1) URLは正しいが、擬似ウィンドウが表示したい情報を提供しているサーバが実ははてなではない。
                    しかし、URLまでは javascript が作り出しているわけですから、問題があるとすればその先のセッションしかありえない。
                    これは典型的な Man in the Middle 攻撃になる。しかし、この場合そもそも擬似ウィンドウを表示している元のページ
                    が .js ファイルをダウンロードするときにも同じ攻撃を仕掛ける事ができる。

                    DHCP/DNSの段階で攻撃されているのか、どこで攻撃されているのかは多様性がありすぎるので省略。

                2)擬似ウィンドウが表示するべきURLがすりかえられている
                    これは典型的に .js ファイルが書き換えられた後だ、と言うことに過ぎません。

                3) ブラウザが嘘をついている
                    これはもう手の施しようが無い(ポップアップウィンドウだろうが、アドレスバーの確認だろうが、プロパティ確認だろうが
                    うそをつけてしまう)

                上記の3箇所のどこも攻撃せず、サーバ側も攻撃せずに、擬似ウィンドウを別のサイトに接続させる方法は今の所ないはずです。

                高木先生は、1, 2 あるいはいまだ発見されていない4番目の攻撃を食らったときに、擬似ウィンドウだと表示しているデータの発信源がユーザからは簡単にはわからない(故に攻撃された事に気がつきにくい)のが悪い、と言っているのです。
                --
                fjの教祖様
                親コメント
              • by Anonymous Coward

                自分がやり方を知らないからと言って逆切れをしないように。
                あなたの主張が正しいなら、擬似ウィンドウも安全です。

                私の主張は正しく、疑似ウィンドウは安全です。あなたは根拠なく不安なだけです。あなた個人が不安がるのは勝手ですが、あなたがの発言が無根拠に他の一般の人たちを不安がらせ、「アドレスバーを見ても駄目なんだ」とリテラシーを下げるようなことは、有害です。

                1) URLは正しいが、擬似ウィンドウが表示したい情報を提供しているサーバが実ははてなではない。
                これは典型的な Man in the Middle 攻撃になる。しかし、この場合そもそも擬似ウィンドウを表示している元のページが .js ファイルをダウンロード

              • by Anonymous Coward
                > 上記の3箇所のどこも攻撃せず、サーバ側も攻撃せずに、擬似ウィンドウを別のサイトに接続させる方法は今の所ないはずです。

                ブックマークされようとしているサイトの持ち主にはそれが可能です。JSには自分と同じドメインに属する物しか操作できないという制限が設けられていますが、件のブックマークレットはブックマークしようとしているサイトを改竄して疑似ダイアログを追加するため、そのサイトの持ち主はいくらでもその疑似ダイアログを操作することができます。多くの場合、そのサイトははてなが作った物でもユーザーが作った物でもないでしょう。よって、第三者によって改竄されてしまう可能性があるため、これは脆弱性になります。

                通常のXSS攻撃はサイトに穴を見つけてスクリプトを注入して攻撃対象を操作する訳ですが、この逆XSS攻撃とでも言うようなこれは攻撃対象が攻撃者のサイトに注入されてきます。攻撃者にとってはカモがネギ背負ってやってくるような状態なわけで、安全でないというレベルではなく、はっきりと危険です。

  • by Anonymous Coward on 2008年11月28日 15時32分 (#1463542)
    これは認証システムを使っている全てのサービスに言えることで別に今始まったことではない。
    • by Anonymous Coward on 2008年11月28日 15時56分 (#1463556)
      元のblogによると [takagi-hiromitsu.jp]
      > ユーザの心得は、「いかなる場合でも、入力の直前にブラウザウィンドウのガワ部分
      > (「chrome領域」と呼ばれる)のアドレスバーを確認する」という単純なルールでよい。
      (ここまでが既存のニセログインフォームへの対策)

      で、このルールに従って今回のブックマークレットを使うと、
      大抵(アドレスバーのサーバへ)パスワードを投げてはいけない状態になるはずだから、
      このブックマークレット(のこのログイン要求機能)が存在する意味がないし、存在しないほうがいい。

      ド素人が作ったものならともかく、プロが作って配布するようなものではないだろう
      …という話だと思うんですけど、どうですかね?
      親コメント
    • by Anonymous Coward on 2008年11月28日 15時40分 (#1463549)
      リニューアル前のはてブのブックマークレットにはなかったものがリニューアル後に始まっちゃったもんだから、それは退行だ、ということです。

      それより何より、本物の(アドレスバーが出る)ウィンドウなら確認のしようはあるという話です。

      わかるかな。
      親コメント
      • by Arc Cosine (35004) on 2008年11月28日 18時04分 (#1463675) 日記
        >本物の(アドレスバーが出る)ウィンドウなら確認のしようはある

        Operaはポップアップウインドウでも、ウインドウ内の一部をクリックするだけでアドレスバーが表示できたりします。
        (黄色くなっている箇所をクリックってOpera持っている人じゃないと分かりづらいよね?)

        #Opera信者なのでID
        親コメント
        • by Anonymous Coward
          で、Operaのその機能は、新はてなブックマークの登録ブックマークレットでも有効なのでしょうか?
          • by albireo (7374) on 2008年11月29日 7時26分 (#1463969) 日記
            ダメです。
            Operaはアドレスバーを非表示にしたブラウザウィンドウでも簡単にアドレスバーを出すことはできますが、高木氏のページにも書かれているようにこのブックマークレットのウィンドウはブラウザウィンドウではなく「ページ内JavaScriptウィンドウ」です。
            中身はフレームとして表示しているようなので右クリックの「フレーム」メニューで別タブとして開けば確認できますが、高木氏のページで解説されているようにOperaでなくても可能。

            つまりこの件に関しては、Operaだろうが他のブラウザだろうが条件は同じです。

            #ブラウザウィンドウの非表示アドレスをワンクリックで表示できるのは、かなり便利なんだけどね。
            --
            うじゃうじゃ
            親コメント
            • by Anonymous Coward

              何かポップアップウィンドウのアドレスバーを表示できることがOperaの優位性であるかのように語られていますが、高木さんも言及しておらるように、IE7とFirefox3ではクリックどころか何もしなくてもアドレスバーは常に表示されています。

              その問題は、その後、Internet Explorer 7と、Firefox 3での改善で、ポップアップウィンドウでもアドレスバーが常に表示されるようになったことで、解決した。

              IEの場合イントラネットゾーンではアドレスバーを隠すことも可能なようですが。

    • by Anonymous Coward
      パスワード認証してるところだけでしょう。
      公開鍵認証対応してほし。
    • by Anonymous Coward

      Webページ内の疑似ウィンドウにログインフォームが表示されるのだが、この疑似ウィンドウ内に表示されたログインフォームが本当にはてなのログインウィンドウなのかどうか、簡単には確認できない。


      が問題なんでしょ?

      認証システムを使っている全てのサービスがこんなことやってるの?

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...