パスワードを忘れた? アカウント作成
5619 story

Netscape 7.02以前にcookie漏洩などの脆弱性 54

ストーリー by Oliver
どのブラウザでもなくならないヤツ 部門より

jbeef曰く、"4月22日にスラッシュドットでとりあげられた、「Mozillaに不正なクッキー情報取得のセキュリティホール」に引き続き、同じくLiu Die Yu氏が、4月29日にBUGTRAQに新たな脆弱性を報告している。http: //example.com./foo.example.net/bar.html の形式のURL(特徴は、ドメイン名の末尾の余分な「.」と、「foo.」の部分)にアクセスしたとき、bar.html内のJavaScriptで「document.domain=""」を実行した後、「document.domain="example.net"」を実行すると、ページのセキュリティドメインが「example.net」になってしまう(「example.com」ではなく)らしく、別ウィンドウに開いた「http: //example.net/」のcookieにアクセスできてしまうため、cookieを盗まれるという。
実際に試してみたところ、Netscape 7.02で再現した。Mozilla 1.3では再現しなかったが、修正されているのだろうか。この発見者は適切にベンダーに報告しているのだろうか?と疑問だ。
この種の、ドメインを越えたスクリプトアクセスの脆弱性は、 cookie漏洩の他に、イントラネットなど社外からアクセスできないWebサーバ のページの内容を、(そのURLを知られている場合には)盗まれる危険性もある。(file: URLが使える場合はローカルファイルも盗まれるが、今回の脆弱性では、file: URLは使えなさそうだ。)"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 代替ブラウザ (スコア:4, すばらしい洞察)

    by passa (9748) on 2003年05月04日 13時58分 (#309381) ホームページ
    なんか、特定のブラウザにセキュリティホールが見付かるとこぞって代替ブラウザ
    の話になるのって、おかしいような。
    mozillaにせよ、IEにせよ、Operaにせよ、 safariにせよ、修正されるまで注意して
    使えばいいだけの話でないの。その注意喚起のためのタレコミだと思うし、
    大体はしばらくの間自己防衛でなんとかなるレベルだよね。

    ただ、いつまでたっても修正してくれない(or 修正できない)代物だとツライ。
    その点、mozillaはよいけど、Netscapeはあまりよくない。
    これに限らず、Netscapeってmozillaの良さをうまく利用できていないんじゃないかな。

    # 今日は天皇賞なのでID
    --
    • by jbeef (1278) on 2003年05月04日 23時18分 (#309600) 日記
      ただ、いつまでたっても修正してくれない(or 修正できない)代物だとツライ。
      その点、mozillaはよいけど、Netscapeはあまりよくない。
      これに限らず、Netscapeってmozillaの良さをうまく利用できていないんじゃないかな。
      先日、渋谷で開かれたMozilla.Partyというイベントに行ってみました。そこにNetscapeの方がいらしていて、MozillaとNetscapeの違いについて発言がありました。

      Netscapeは、製品として出荷するレベルの信頼性を確保するための品質検査をした後にリリースしているとのこと。

      この席では、オープンソースプロダクトをいかに組織で使ってもらうかということが議論され、MozillaとNetscapeの関係のように、オープンソースプロダクトを品質検査をした上で商品として提供するというビジネスモデルが語られていました。

      親コメント
      • by Anonymous Coward
        HPがGNOMEの採用を中止 [srad.jp]の話とも絡みますなぁ。Apache のように早くからデファクトスタンダードになったものでないオープンソースプロダクトって、実は難しいポジションに居るのかもしれませんね。

        これからはこうした営利企業による検証をスピーディに行うことができるように、オープンソースプロジェク
        • Apple が Gecko じゃなくて KHTML を採用した理由ですけど、

          1)Geckoがクロスプラットフォーム(XP)重視で設計されおり、その基盤に Win/Unix/Mac 向け XPコードが山ほど詰まっている。
          2)そのために、mozilla.orgが当初目指していた目標の一つ「小さい」が達成されていなく、意外に大きくて複雑。
          3)Appleにしてみれば XPという特性は不要で、Geckoの大きさと XP故の複雑さは容認できなかった。

          という、単なる技術的な問題に由来してい
          • 自分の無知を放置したままお尋ねしますが、KHTML は基本的に KDE のことしか考えてないんじゃないんですか? そうだとしてもいろんなプラットフォーム向けの対策が混在してごちゃごちゃになっているものよりは移植が楽だったということでしょうか?

            # 次期 Netscape はもう Classic はサポート外、ですよねぇ…。
            • えっと確か「KDE前提」ではなくて「Qt前提」だったと思いますよ。
              KDEのライブラリがいくつか必要だけどKDE環境である必要はなくて
              確か Qt/Embedded な Linuxザウルス(not KDE)でも動作していたかと。

              で、確か Apple は Qtを使わずに Qtをエミュレートするコードを
              かぶせて(サブセット実装?)kh
    • by Anonymous Coward
      かといって、Mozillaのマイルストーンリリースの度にそれを逐一Netscapeとしてリリースする、という訳にもいかないですしね。
      この点は、たしか、Mozillaのリリースとは別にNetscapeで修正版をリリースしていたような気がするのですが、どうでしたっけ?
  • by oddmake (1445) on 2003年05月03日 18時20分 (#309102) 日記
    IEもなんだか危なさそうだし [slashdot.org]何を使ったらいいのでしょう?
    #Mac OS X + Safari?
    --
    /.configure;oddmake;oddmake install
    • Re:これは困りましたね (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2003年05月03日 18時25分 (#309104)
      漢は黙ってtelnet

      # 脳内Parse?
      親コメント
    • by Anonymous Coward
      Mac OS X + Safari(v73) + ATOK15 環境だとクラッシュしまくりです。

      # でも、ことえりには戻れません。

      Mac OS X + IE 5.2 ならセキュリティホールの発表さえないから安心な気分になれる??
      • by Anonymous Coward
        ATOK ってほんといろいろ相性問題が出ますよね。私は辞書は鍛えるものだと思っているからことえり3 や IME で十分満足です。なが~い文を一気に変換するような方法は採らないし。
        •  昔はともかく、ATOK12 あたりから後はけっこうバギーですよね。
           ぶつかんない限りは問題ない場合がほとんどですけど、常用するものとぶつかっちゃうとアウトですし。
           まあリリース後だいたい半年くらいでパッチが出て改善されるというパターンが繰り返されてるんで、わたしは ATOK はパッチが出るまでは入れないようにしています。

           長文を一気に変換することはないし辞書は鍛えるものというのには同意するんですが、TAB 補完とアクセサリ辞書 (F4 変換) に慣れると ATOK なしだと暮らせないのです。

          # オフトピック失礼
          親コメント
          • by Anonymous Coward
            最近パッチ当ててなかったことに気づき、ATOK15 1.0.2 にしました。ちょっと改善しましたが、まだ落ちます。確かに Safariとの相性ならいずれパッチ出るとは思います。

            > TAB 補完とアクセサリ辞書 (F4 変換) に慣れると ATOK なしだと暮らせない
            • 最近パッチ当ててなかったことに気づき、ATOK15 1.0.2 にしました。ちょっと改善しましたが、まだ落ちます。確かに Safariとの相性ならいずれパッチ出るとは思います。
               Mac 版は ATOK14 しか買ってないので 15 の事情はわからなかったりしますが、14 もパッチ当てるまではあやしかったですね。まあ OS X になって最初のリリースということもありましたし、OS X そのものがまだかなりあやしかったのでしょうがないかなあと思いつつ使っていましたが。
               Windows 版については 12, 13, 14 ともパッチ当てればとりあえず問題起きてないように思います。(パッチ当てる前の 12 とかは ATOK の DLL がエラー吐いたりしてびっくりしました)
              F4 変換は…はじめて知りました。めちゃ便利ですね。びっくり。
               アクセサリ辞書、普段使わないような単語を登録するもよし、顔文字を登録するもよし、省略入力に利用するもよしですね。
               わたしは「あんかー → <a href=""></a>」とか登録したりしています。三国志辞書みたいなものを登録をするのもいいですね。
               メイン辞書を一般的でない単語で汚染して思わぬところで妙な誤変換を混入 (業務文書に顔文字が、とか) してしまうことを防げるのがうれしいです。
               TAB 補完も同様で、昔の FEP では「す → スラッシュドット」とか登録して誤変換を混ぜたりしていましたが、TAB 補完が覚えてくれれば同等の使い勝手を誤変換のリスクを高めずに実現してくれるので助かります。
              親コメント
        • by wd (2009) on 2003年05月04日 1時55分 (#309284) ホームページ 日記
          ATOK も IME も、長い文章を一気に文の最後の「。」まで入力して、文節区切り、候補選択をすべてやって、意図する文章に変換し終えたところで初めて文章全体を確定する、と言う変換操作をしていないとどんどん辞書が馬鹿になって行くアルゴリズムになっていたんではなかったでしたっけ?
          文節区切りや各文節の前後関係も見てるはずだし…
          あ、いや、聞きかじりでしかないですけど(^^;

          実際、昔 Mac でことえり 2 を使っていた時は、上記の変換・確定方法で辞書を鍛えたらほとんど誤変換がなくなったような。

          ちょっと調べた限りではこんなのが見つかっただす。

          MS-IME2002日本語変換の方法 [tripod.co.jp]

          MS-IME97徹底研究 [airnet.ne.jp]
          親コメント
        • by Anonymous Coward
          ATOKの設定ウィンドウがICQPlusのスキンになったりとか。

          # Win2kSP2のときにAtok14で。最近は見てないなぁ・・
        • by Anonymous Coward
          IMEって?
          MacOSでもIMEと呼ぶようになったの?
          でもってMS-IMEのこと?
    • 自分で作れ。
    • セキュリティホールをただ畏れ、その場に留まるだけでは機会を失うばかり。
      それを乗り越えてこそ以下略。
      --


      # ACなのでAC
    • w3mとかlynxとか…。
      ブラウザにおいても、利便性とセキュリティはトレード・オフ、って事で。
    • IEのそれは別にセキュリティホールってわけじゃないだろ。
  • by GSone (8994) on 2003年05月04日 10時30分 (#309339) 日記
    mozillaも「mozillaとしての」開発は停止するらしいですし、
    最終verを「Netscape化」してほしいものですね。
    mozは穴に対しては結構早い対応をしていたように思うし
    Nightlyでさりげなく直している穴もたくさんあろうに。
    • by Anonymous Coward
      どこからそんなデマが流れたんだか...
      • by GSone (8994) on 2003年05月04日 12時52分 (#309370) 日記
        >Re:モジラとの関係 (スコア:0)
        >Anonymous Coward のコメント: Sunday May 04, @12:26PM >(#309366)
        >どこからそんなデマが流れたんだか...

        http://srad.jp/article.pl?sid=03/04/03/122200&topic=51&mode=thread
        いままで慣れ親しんだブラウザ・メール統合環境としての「mozilla」は1.4まで。
        その後は、PhoenixとThunderBird となる・・・?はずが
        ただ名称問題でいろいろあるようで、
        http://srad.jp/article.pl?sid=03/04/26/0758200&topic=51&mode=thread
        という話になっているようですね。
        ただ、
        http://www.kmgerich.com/misc.html
        では「mozilla firebird」なんて呼んでいたりして、混沌としている感じですね。

        現在のNetscapeの根幹である「mozilla」は、1.4までとなるはずです。
        その後、メーラーやブラウザなどを小分けにした"Mozilla Browser"が、
        いままでと同じようにNetscapeの根幹になるのかどうかは、
        私の知るところではないです。どうなるんでしょうかね…
        親コメント
        • Mozilla SeaMonkey [mozilla.org] から、Mozilla Firebird [mozilla.org] + Thunderbird [mozilla.org] etc. に切り替わるだけ、と認識しています。Mozilla 1.5 以降の配布形態は、ある程度 Suited な形になりように読めるので、何らかの Suited な Project として収束するのかも知れませんが。

          ただ、今後 Netscape [netscape.com] がこれまでのような広告を始めとするビジネスモデルに乗っかったウェブ・クライアントを提供するかは未知です。個人的にはもう出さない (1.4 系が最後) と推測していますが、どうなんでしょう?

          # Safari [apple.com] でも何気に Netscape なサイトに誘導されたりするし。

          親コメント
          • AOL は Netscape/AOL部門で収支が完結するようなビジネスは考えてないと思いますよ。

            AOLがインターネットの世界に対してアピールできる技術を保有・提供するために、研究部門として Netscape/AOL部門を存続させているという感じかなと。
            Netscape/AOL部門は WebクライアントチームだけでなくWebの標準技術の推進を行うチームもありますけど、技術の基盤となる
    • by Anonymous Coward
      Suite としての Mozilla ってことなのかな、これは。一応次の Netscape は Suite 最後のバージョンである 1.4 ベースってことらしいですよ。

      ネタ元はこちら。「Netscape、次期リリースで国際化ドメイン対応へ [impress.co.jp]」
  • by ccd (10197) on 2003年05月04日 10時45分 (#309343) 日記
    関連リンクの3番目、不正なクッキー情報取~以降の文字が化けてるのは私だけでしょうか?
    • by Anonymous Coward
      いつも誤字脱字でぎゃーぎゃーうるさいここで他に誰も指摘しないんだから、間違いなくそちらの環境のせいでしょ。

      で、そういう質問をするときは、せめてブラウザとOSの種類とバージョン程度のことは書いてくれないと激しい怒りを買うか、冷たく無視されることになる。



      初心者サポートはタコ脱却の第一歩と心得るのでAC。
      • by ccd (10197) on 2003年05月04日 16時16分 (#309395) 日記
        失礼いたしました。
        こちらの環境は
        OS:Windows2000 SP3
        ブラウザ:InternetExplorer6.0 SP1です。
        あとNetscape7.02(これしかブラウザを入れていなかった)でも文字化けを確認しました。
        親コメント
      • by Anonymous Coward
        化けてますよ。
        今回指摘の場所以外にも、関連リンク部分で文字化けしてることは結構見かけます。
        めんどくさいから指摘や報告してないだけ。
        そんな本文と関係ないところが読めなくても実害があるわけでもないし(今のところは)。
      • by Anonymous Coward
        誤字脱字の指摘はすぐできるからするが、文字化けの指摘は原因の切り分けが面倒くさいから放置、という体質なんでしょう。指摘する人たちは。分からなくはないけどね。
        • 私の環境
          Mozilla/5.0 (Windows; U; Windows NT 5.0; ja-JP; rv:1.0.2) Gecko/20030208 Netscape/7.02
          Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
          でも文字化けするので、パケットを拾ってみたのですが

          02A0 4D 6F 7A 69 6C 6C 61 A4 - CB C9 D4 C0 B5 A4 CA A5
          02B0 AF A5 C3 A5 AD A1 BC BE - F0 CA F3 BC E8 C6 C0 A4
          02C0 CE A5 BB A5 AD A5 E5 A5 - EA A5 C6 A5 A3 A5 DB A1
          02D0 BC A5 EB 3C 2F 41 3E A1 - D7 A4 CB B0 FA A4 AD C2
          (BC E8 C6 C0 = 取
          • by Anonymous Coward on 2003年05月04日 17時27分 (#309418)
            私、間違った箇所を追跡しておりました。
            本当に問題を起こしている箇所はここでした。

            04C0 32 32 32 31 22 3E 4D 6F - 7A 69 6C 6C 61 A4 CB C9
            04D0 D4 C0 B5 A4 CA A5 AF A5 - C3 A5 AD A1 BC BE F0 CA
            04E0 F3 BC E8 C6 20 C0 A4 CE - A5 BB A5 AD A5 E5 A5 EA

            「得」の字を(C6 C0) をスペース(20)でぶった切ってます。
            # これでどの環境でも文字化けを起こす理由が判りました。
            親コメント
    • by Anonymous Coward
      ・Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.4a) Gecko/20030422 Firebird Browser/0.6
      ・w3m/0.4.1
      いずれも文字化けします。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...