アカウント名:
パスワード:
最近はGoogleへの激しい攻撃を行っている高木先生が、今度は最近リニューアルされたばかりのはてなブックマークに噛みついている。
最近ここではウィキペディアを叩くのが主流なんですか?やたら叩いてる人を見かけるんですが。
「本物の画面の上に、フレーム無しの擬似ウィンドウを開く事で、一見普通の入力ボックスに見えるのに実は偽装」な状態だって作れるはずですが…
その時アドレスバーのURLは攻撃者サイトなのだから、偽装になってませんが??
(本物サイトの上にフレーム無しの疑似ウィンドウを出すことは不可能ですし。)
.jsファイルをのっとるだけでいいのだから、URLは攻撃者サイトになりませんが?
Q5: この鉄則が守られていれば必ず安全なのですか? 残念ながらそうではありません。たとえば次の場合には安全ではなくなります。 利用者が使用しているWebブラウザに脆弱性がある場合 本物サイトに脆弱性がある場合 本物サイトのサーバが侵入され、コンテンツを改竄されている場合 利用者のパソコンがコンピュータウイルス(一部のスパイウェアを含む)に感染している場合 ブラウザベンダーは脆弱性を修正するべきです。サイト運営者はサイトから脆弱性を排除するよう努力し、侵入されない管理体制を築くべきです。利用者は、脆弱性の修正されたブラウザを使用し、ウイルスに感染しないよう注意するべきです。そうしなければ、インターネットを安全に使うことはできません。この鉄則は、それらが守られているという前提の上での考え方を示したものです。
そんなことは不可能ですよ。 いい加減なことを言う前に、実際にやってみたらいいでしょう。
自分がやり方を知らないからと言って逆切れをしないように。 あなたの主張が正しいなら、擬似ウィンドウも安全です。
私の主張は正しく、疑似ウィンドウは安全です。あなたは根拠なく不安なだけです。あなた個人が不安がるのは勝手ですが、あなたがの発言が無根拠に他の一般の人たちを不安がらせ、「アドレスバーを見ても駄目なんだ」とリテラシーを下げるようなことは、有害です。
1) URLは正しいが、擬似ウィンドウが表示したい情報を提供しているサーバが実ははてなではない。 これは典型的な Man in the Middle 攻撃になる。しかし、この場合そもそも擬似ウィンドウを表示している元のページが .js ファイルをダウンロード
何かポップアップウィンドウのアドレスバーを表示できることがOperaの優位性であるかのように語られていますが、高木さんも言及しておらるように、IE7とFirefox3ではクリックどころか何もしなくてもアドレスバーは常に表示されています。
その問題は、その後、Internet Explorer 7と、Firefox 3での改善で、ポップアップウィンドウでもアドレスバーが常に表示されるようになったことで、解決した。
IEの場合イントラネットゾーンではアドレスバーを隠すことも可能なようですが。
Webページ内の疑似ウィンドウにログインフォームが表示されるのだが、この疑似ウィンドウ内に表示されたログインフォームが本当にはてなのログインウィンドウなのかどうか、簡単には確認できない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
オフトピだが (スコア:5, すばらしい洞察)
子供じゃないんだからこういう書き方やめなさいよ。ウィキペディアじゃあるまいし内輪だけで面白がるサイトじゃないでしょう。そうしたいのかもしれないけどさ。
Re: (スコア:0)
やたら叩いてる人を見かけるんですが。
Re: (スコア:0)
Re: (スコア:0)
スラドの内輪的話なんだからいいんじゃないの?
ログイン (スコア:4, 参考になる)
> naoya bookmark2 ログインのところは修正しますね。後半についてはもう少し考えます。 2008/11/26
とのことです。
Re:ログイン (スコア:1)
Re: (スコア:0)
Re:ログイン (スコア:1)
部門名 (スコア:3, おもしろおかしい)
高木先生に叩かれないように、という意味に聞こえて仕方が無いw
#それだけなのでAC
Re: (スコア:0)
はてなはそういうインターフェースにするべきではない、というのはいいのだが… (スコア:2, 興味深い)
「かっこいいデザイン」は無条件に信頼されやすい、という傾向があるとするならば、
『本物よりも偽者の方が信頼されやすい』
という困った状態を作り上げてしまうだけではないかと…
# 擬似ウィンドウのバーに「嘘のURLを表示する」ぐらいはやるでしょうし…
.
じゃぁ、どうすればいいのか、という意見は思いつきません。
なにしろ偽者というのは大まかに3種類あって、
もちろん、それぞれ「どうやってユーザーを騙すか」は違うわけですが…こうなると、「見てくれ」でどうにかするのは無理じゃないかと…
fjの教祖様
Re:はてなはそういうインターフェースにするべきではない、というのはいいのだが…(オフトピ:-10) (スコア:2, すばらしい洞察)
・マフラーと手袋の色が違う。
・リベットとジャバラ関節。
・悪役顔。
Re: (スコア:0)
なんで読まずにテキトーなこと書くんかね。
Re: (スコア:0)
うわー、なんかものすごい危険な大発明しちゃってませんか?
ブラウザごとにそれぞれの標準スキンそっくりの嘘URL表示することだってできちゃいそう。
Re:はてなはそういうインターフェースにするべきではない、というのはいいのだが… (スコア:1)
擬似ウィンドウを「本物のポップアップウィンドウのように見せかける」事が可能(もちろん、ブラウザ画面の外には動かせませんが)なのはもちろん、
「本物の画面の上に、フレーム無しの擬似ウィンドウを開く事で、一見普通の入力ボックスに見えるのに実は偽装」
な状態だって作れるはずですが…
# 確か、そういうデモってもうあったと思うんだが…
なので、高木先生が「はてなのインターフェースは駄目」というのはその通りですが、じゃぁ直したら偽装されない/されにくいのかといわれると…全然そうは思えないです。
ましてや、「本物よりも本物らしい」という騙し方がある事を考えるとね。
# 「ログインの際にかっこよく専用ウィンドウが出るのは、きっと本物だからだよ。」
fjの教祖様
Re: (スコア:0)
その時アドレスバーのURLは攻撃者サイトなのだから、偽装になってませんが??
(本物サイトの上にフレーム無しの疑似ウィンドウを出すことは不可能ですし。)
Re:はてなはそういうインターフェースにするべきではない、というのはいいのだが… (スコア:1)
.jsファイルをのっとるだけでいいのだから、URLは攻撃者サイトになりませんが?
なんかものすごく攻撃方法を都合のよいものに限定していませんか?
fjの教祖様
Re:はてなはそういうインターフェースにするべきではない、というのはいいのだが… (スコア:3, すばらしい洞察)
もしそうだとすると、仰る通りユーザの被害を防ぐことは難しいかもしれません。
ですが、そもそも「安全なWebサイト利用の鉄則」 [aist.go.jp]やブログでの啓蒙など高木さんの一連の活動において防ごうとしている被害は、大雑把に言うと「本物サイトだから安全、と思っていたら実は偽サイトだった」ことに起因する被害であって、「本物サイトだから安全、と思っていたら実は本物サイトなのに安全じゃなかった」ことに起因する被害はサポートの範囲外というか、別途対処すべきことというスタンス、と私は理解しています。
参考までに前述の「安全なWebサイト利用の鉄則」のFAQ [aist.go.jp]の一部を引用しておきます。(強調は引用者)
Re: (スコア:0)
そんなことは不可能ですよ。
いい加減なことを言う前に、実際にやってみたらいいでしょう。
Re:はてなはそういうインターフェースにするべきではない、というのはいいのだが… (スコア:1)
あなたの主張が正しいなら、擬似ウィンドウも安全です。
擬似ウィンドウが危険なのは「何らかの方法で、擬似ウィンドウが表示している情報」が『はてなが意図している情報』と異なっている場合に限定されます。これは大雑把に3箇所しか攻撃ポイントはありません。
1) URLは正しいが、擬似ウィンドウが表示したい情報を提供しているサーバが実ははてなではない。
しかし、URLまでは javascript が作り出しているわけですから、問題があるとすればその先のセッションしかありえない。
これは典型的な Man in the Middle 攻撃になる。しかし、この場合そもそも擬似ウィンドウを表示している元のページ
が .js ファイルをダウンロードするときにも同じ攻撃を仕掛ける事ができる。
DHCP/DNSの段階で攻撃されているのか、どこで攻撃されているのかは多様性がありすぎるので省略。
2)擬似ウィンドウが表示するべきURLがすりかえられている
これは典型的に .js ファイルが書き換えられた後だ、と言うことに過ぎません。
3) ブラウザが嘘をついている
これはもう手の施しようが無い(ポップアップウィンドウだろうが、アドレスバーの確認だろうが、プロパティ確認だろうが
うそをつけてしまう)
上記の3箇所のどこも攻撃せず、サーバ側も攻撃せずに、擬似ウィンドウを別のサイトに接続させる方法は今の所ないはずです。
高木先生は、1, 2 あるいはいまだ発見されていない4番目の攻撃を食らったときに、擬似ウィンドウだと表示しているデータの発信源がユーザからは簡単にはわからない(故に攻撃された事に気がつきにくい)のが悪い、と言っているのです。
fjの教祖様
Re: (スコア:0)
私の主張は正しく、疑似ウィンドウは安全です。あなたは根拠なく不安なだけです。あなた個人が不安がるのは勝手ですが、あなたがの発言が無根拠に他の一般の人たちを不安がらせ、「アドレスバーを見ても駄目なんだ」とリテラシーを下げるようなことは、有害です。
Re: (スコア:0)
ブックマークされようとしているサイトの持ち主にはそれが可能です。JSには自分と同じドメインに属する物しか操作できないという制限が設けられていますが、件のブックマークレットはブックマークしようとしているサイトを改竄して疑似ダイアログを追加するため、そのサイトの持ち主はいくらでもその疑似ダイアログを操作することができます。多くの場合、そのサイトははてなが作った物でもユーザーが作った物でもないでしょう。よって、第三者によって改竄されてしまう可能性があるため、これは脆弱性になります。
通常のXSS攻撃はサイトに穴を見つけてスクリプトを注入して攻撃対象を操作する訳ですが、この逆XSS攻撃とでも言うようなこれは攻撃対象が攻撃者のサイトに注入されてきます。攻撃者にとってはカモがネギ背負ってやってくるような状態なわけで、安全でないというレベルではなく、はっきりと危険です。
ニセのログインフォーム (スコア:0)
Re:ニセのログインフォーム (スコア:4, すばらしい洞察)
> ユーザの心得は、「いかなる場合でも、入力の直前にブラウザウィンドウのガワ部分
> (「chrome領域」と呼ばれる)のアドレスバーを確認する」という単純なルールでよい。
(ここまでが既存のニセログインフォームへの対策)
で、このルールに従って今回のブックマークレットを使うと、
大抵(アドレスバーのサーバへ)パスワードを投げてはいけない状態になるはずだから、
このブックマークレット(のこのログイン要求機能)が存在する意味がないし、存在しないほうがいい。
ド素人が作ったものならともかく、プロが作って配布するようなものではないだろう
…という話だと思うんですけど、どうですかね?
Re:ニセのログインフォーム (スコア:1, 参考になる)
それより何より、本物の(アドレスバーが出る)ウィンドウなら確認のしようはあるという話です。
わかるかな。
一方Operaは(激しくオフトピ) (スコア:2, 参考になる)
Operaはポップアップウインドウでも、ウインドウ内の一部をクリックするだけでアドレスバーが表示できたりします。
(黄色くなっている箇所をクリックってOpera持っている人じゃないと分かりづらいよね?)
#Opera信者なのでID
Re: (スコア:0)
Re:一方Operaは(激しくオフトピ) (スコア:2, 興味深い)
Operaはアドレスバーを非表示にしたブラウザウィンドウでも簡単にアドレスバーを出すことはできますが、高木氏のページにも書かれているようにこのブックマークレットのウィンドウはブラウザウィンドウではなく「ページ内JavaScriptウィンドウ」です。
中身はフレームとして表示しているようなので右クリックの「フレーム」メニューで別タブとして開けば確認できますが、高木氏のページで解説されているようにOperaでなくても可能。
つまりこの件に関しては、Operaだろうが他のブラウザだろうが条件は同じです。
#ブラウザウィンドウの非表示アドレスをワンクリックで表示できるのは、かなり便利なんだけどね。
うじゃうじゃ
Re: (スコア:0)
何かポップアップウィンドウのアドレスバーを表示できることがOperaの優位性であるかのように語られていますが、高木さんも言及しておらるように、IE7とFirefox3ではクリックどころか何もしなくてもアドレスバーは常に表示されています。
IEの場合イントラネットゾーンではアドレスバーを隠すことも可能なようですが。
Re: (スコア:0)
公開鍵認証対応してほし。
ちゃんと読め (スコア:0)
が問題なんでしょ?
認証システムを使っている全てのサービスがこんなことやってるの?