Netscape 7.02以前にcookie漏洩などの脆弱性 54
ストーリー by Oliver
どのブラウザでもなくならないヤツ 部門より
どのブラウザでもなくならないヤツ 部門より
jbeef曰く、"4月22日にスラッシュドットでとりあげられた、「Mozillaに不正なクッキー情報取得のセキュリティホール」に引き続き、同じくLiu Die Yu氏が、4月29日にBUGTRAQに新たな脆弱性を報告している。http: //example.com./foo.example.net/bar.html の形式のURL(特徴は、ドメイン名の末尾の余分な「.」と、「foo.」の部分)にアクセスしたとき、bar.html内のJavaScriptで「document.domain=""」を実行した後、「document.domain="example.net"」を実行すると、ページのセキュリティドメインが「example.net」になってしまう(「example.com」ではなく)らしく、別ウィンドウに開いた「http: //example.net/」のcookieにアクセスできてしまうため、cookieを盗まれるという。
実際に試してみたところ、Netscape 7.02で再現した。Mozilla 1.3では再現しなかったが、修正されているのだろうか。この発見者は適切にベンダーに報告しているのだろうか?と疑問だ。
この種の、ドメインを越えたスクリプトアクセスの脆弱性は、
cookie漏洩の他に、イントラネットなど社外からアクセスできないWebサーバ
のページの内容を、(そのURLを知られている場合には)盗まれる危険性もある。(file: URLが使える場合はローカルファイルも盗まれるが、今回の脆弱性では、file: URLは使えなさそうだ。)"
代替ブラウザ (スコア:4, すばらしい洞察)
の話になるのって、おかしいような。
mozillaにせよ、IEにせよ、Operaにせよ、 safariにせよ、修正されるまで注意して
使えばいいだけの話でないの。その注意喚起のためのタレコミだと思うし、
大体はしばらくの間自己防衛でなんとかなるレベルだよね。
ただ、いつまでたっても修正してくれない(or 修正できない)代物だとツライ。
その点、mozillaはよいけど、Netscapeはあまりよくない。
これに限らず、Netscapeってmozillaの良さをうまく利用できていないんじゃないかな。
# 今日は天皇賞なのでID
ぱ
Re:代替ブラウザ (スコア:2, 興味深い)
Netscapeは、製品として出荷するレベルの信頼性を確保するための品質検査をした後にリリースしているとのこと。
この席では、オープンソースプロダクトをいかに組織で使ってもらうかということが議論され、MozillaとNetscapeの関係のように、オープンソースプロダクトを品質検査をした上で商品として提供するというビジネスモデルが語られていました。
Re:代替ブラウザ (スコア:0)
これからはこうした営利企業による検証をスピーディに行うことができるように、オープンソースプロジェク
Re:Apple が Gecko じゃなくて KHTML を採用した理由 (スコア:0)
1)Geckoがクロスプラットフォーム(XP)重視で設計されおり、その基盤に Win/Unix/Mac 向け XPコードが山ほど詰まっている。
2)そのために、mozilla.orgが当初目指していた目標の一つ「小さい」が達成されていなく、意外に大きくて複雑。
3)Appleにしてみれば XPという特性は不要で、Geckoの大きさと XP故の複雑さは容認できなかった。
という、単なる技術的な問題に由来してい
Re:Apple が Gecko じゃなくて KHTML を採用した理由 (スコア:0)
# 次期 Netscape はもう Classic はサポート外、ですよねぇ…。
Re:Apple が Gecko じゃなくて KHTML を採用した理由 (スコア:0)
KDEのライブラリがいくつか必要だけどKDE環境である必要はなくて
確か Qt/Embedded な Linuxザウルス(not KDE)でも動作していたかと。
で、確か Apple は Qtを使わずに Qtをエミュレートするコードを
かぶせて(サブセット実装?)kh
Re:代替ブラウザ (スコア:0)
この点は、たしか、Mozillaのリリースとは別にNetscapeで修正版をリリースしていたような気がするのですが、どうでしたっけ?
これは困りましたね (スコア:1)
#Mac OS X + Safari?
/.configure;oddmake;oddmake install
Re:これは困りましたね (スコア:1, おもしろおかしい)
# 脳内Parse?
Re:これは困りましたね (スコア:2, すばらしい洞察)
telnet 使う位だったらクッキー切って使ってた方がマシな気が…はっ、telnet でもクッキーを?
Re:これは困りましたね (スコア:0)
Safari は… (スコア:0)
# でも、ことえりには戻れません。
Mac OS X + IE 5.2 ならセキュリティホールの発表さえないから安心な気分になれる??
その他のIM(IME)for Mac OS X (スコア:1)
http://www.ergo.co.jp/promac/egb14/index.html [ergo.co.jp]
MacVJE-Delta
http://www.vacs.co.jp/news/Mac/MacVJE-Delta40.htm [vacs.co.jp]
AquaSKK
http://ccm.sherry.jp/cgi-bin/dita/dita.cgi/aquaskk/ [sherry.jp]
Re:その他のIM(IME)for Mac OS X (スコア:1)
…voidバイアスがかかっているかもしれません(笑)。
Re:Safari は… (スコア:0)
ATOK (Re:Safari は…) (スコア:1)
ぶつかんない限りは問題ない場合がほとんどですけど、常用するものとぶつかっちゃうとアウトですし。
まあリリース後だいたい半年くらいでパッチが出て改善されるというパターンが繰り返されてるんで、わたしは ATOK はパッチが出るまでは入れないようにしています。
長文を一気に変換することはないし辞書は鍛えるものというのには同意するんですが、TAB 補完とアクセサリ辞書 (F4 変換) に慣れると ATOK なしだと暮らせないのです。
# オフトピック失礼
Re:ATOK (Re:Safari は…) (スコア:0)
> TAB 補完とアクセサリ辞書 (F4 変換) に慣れると ATOK なしだと暮らせない
Re:ATOK (Re:Safari は…) (スコア:1)
Windows 版については 12, 13, 14 ともパッチ当てればとりあえず問題起きてないように思います。(パッチ当てる前の 12 とかは ATOK の DLL がエラー吐いたりしてびっくりしました)
アクセサリ辞書、普段使わないような単語を登録するもよし、顔文字を登録するもよし、省略入力に利用するもよしですね。
わたしは「あんかー → <a href=""></a>」とか登録したりしています。三国志辞書みたいなものを登録をするのもいいですね。
メイン辞書を一般的でない単語で汚染して思わぬところで妙な誤変換を混入 (業務文書に顔文字が、とか) してしまうことを防げるのがうれしいです。
TAB 補完も同様で、昔の FEP では「す → スラッシュドット」とか登録して誤変換を混ぜたりしていましたが、TAB 補完が覚えてくれれば同等の使い勝手を誤変換のリスクを高めずに実現してくれるので助かります。
Re:Safari は… (スコア:1)
文節区切りや各文節の前後関係も見てるはずだし…
あ、いや、聞きかじりでしかないですけど(^^;
実際、昔 Mac でことえり 2 を使っていた時は、上記の変換・確定方法で辞書を鍛えたらほとんど誤変換がなくなったような。
ちょっと調べた限りではこんなのが見つかっただす。
MS-IME2002日本語変換の方法 [tripod.co.jp]
MS-IME97徹底研究 [airnet.ne.jp]
Re:Safari は… (スコア:0)
Re:Safari は… (スコア:0)
# Win2kSP2のときにAtok14で。最近は見てないなぁ・・
Re:Safari は… (スコア:0)
MacOSでもIMEと呼ぶようになったの?
でもってMS-IMEのこと?
Re:Safari は… (スコア:0)
[一般名詞] Input Method Editorの略
#お節介なのでAC
Re:これは困りましたね (スコア:0)
Re:これは困りましたね (スコア:0, オフトピック)
それを乗り越えてこそ以下略。
# ACなのでAC
Re:これは困りましたね (スコア:0)
ブラウザにおいても、利便性とセキュリティはトレード・オフ、って事で。
Re:これは困りましたね (スコア:0)
モジラとの関係 (スコア:1)
最終verを「Netscape化」してほしいものですね。
mozは穴に対しては結構早い対応をしていたように思うし
Nightlyでさりげなく直している穴もたくさんあろうに。
Re:モジラとの関係 (スコア:0)
Re:モジラとの関係 (スコア:1)
>Anonymous Coward のコメント: Sunday May 04, @12:26PM >(#309366)
>どこからそんなデマが流れたんだか...
http://srad.jp/article.pl?sid=03/04/03/122200&topic=51&mode=thread
いままで慣れ親しんだブラウザ・メール統合環境としての「mozilla」は1.4まで。
その後は、PhoenixとThunderBird となる・・・?はずが
ただ名称問題でいろいろあるようで、
http://srad.jp/article.pl?sid=03/04/26/0758200&topic=51&mode=thread
という話になっているようですね。
ただ、
http://www.kmgerich.com/misc.html
では「mozilla firebird」なんて呼んでいたりして、混沌としている感じですね。
現在のNetscapeの根幹である「mozilla」は、1.4までとなるはずです。
その後、メーラーやブラウザなどを小分けにした"Mozilla Browser"が、
いままでと同じようにNetscapeの根幹になるのかどうかは、
私の知るところではないです。どうなるんでしょうかね…
Re:モジラとの関係 (スコア:1)
Mozilla SeaMonkey [mozilla.org] から、Mozilla Firebird [mozilla.org] + Thunderbird [mozilla.org] etc. に切り替わるだけ、と認識しています。Mozilla 1.5 以降の配布形態は、ある程度 Suited な形になりように読めるので、何らかの Suited な Project として収束するのかも知れませんが。
ただ、今後 Netscape [netscape.com] がこれまでのような広告を始めとするビジネスモデルに乗っかったウェブ・クライアントを提供するかは未知です。個人的にはもう出さない (1.4 系が最後) と推測していますが、どうなんでしょう?
# Safari [apple.com] でも何気に Netscape なサイトに誘導されたりするし。
Re: Netscapeは今後もブラウザをリリースするか? (スコア:0)
AOLがインターネットの世界に対してアピールできる技術を保有・提供するために、研究部門として Netscape/AOL部門を存続させているという感じかなと。
Netscape/AOL部門は WebクライアントチームだけでなくWebの標準技術の推進を行うチームもありますけど、技術の基盤となる
Re:モジラとの関係 (スコア:0)
ネタ元はこちら。「Netscape、次期リリースで国際化ドメイン対応へ [impress.co.jp]」
オフトピですが (スコア:1)
Re:オフトピですが (スコア:0)
で、そういう質問をするときは、せめてブラウザとOSの種類とバージョン程度のことは書いてくれないと激しい怒りを買うか、冷たく無視されることになる。
初心者サポートはタコ脱却の第一歩と心得るのでAC。
Re:オフトピですが (スコア:1)
こちらの環境は
OS:Windows2000 SP3
ブラウザ:InternetExplorer6.0 SP1です。
あとNetscape7.02(これしかブラウザを入れていなかった)でも文字化けを確認しました。
Re:オフトピですが (スコア:0)
今回指摘の場所以外にも、関連リンク部分で文字化けしてることは結構見かけます。
めんどくさいから指摘や報告してないだけ。
そんな本文と関係ないところが読めなくても実害があるわけでもないし(今のところは)。
Re:オフトピですが (スコア:0)
確かに難しいですね (スコア:0)
Mozilla/5.0 (Windows; U; Windows NT 5.0; ja-JP; rv:1.0.2) Gecko/20030208 Netscape/7.02
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
でも文字化けするので、パケットを拾ってみたのですが
02A0 4D 6F 7A 69 6C 6C 61 A4 - CB C9 D4 C0 B5 A4 CA A5
02B0 AF A5 C3 A5 AD A1 BC BE - F0 CA F3 BC E8 C6 C0 A4
02C0 CE A5 BB A5 AD A5 E5 A5 - EA A5 C6 A5 A3 A5 DB A1
02D0 BC A5 EB 3C 2F 41 3E A1 - D7 A4 CB B0 FA A4 AD C2
(BC E8 C6 C0 = 取
ごめんなさい (was:確かに難しいですね) (スコア:1, 興味深い)
本当に問題を起こしている箇所はここでした。
04C0 32 32 32 31 22 3E 4D 6F - 7A 69 6C 6C 61 A4 CB C9
04D0 D4 C0 B5 A4 CA A5 AF A5 - C3 A5 AD A1 BC BE F0 CA
04E0 F3 BC E8 C6 20 C0 A4 CE - A5 BB A5 AD A5 E5 A5 EA
「得」の字を(C6 C0) をスペース(20)でぶった切ってます。
# これでどの環境でも文字化けを起こす理由が判りました。
Re:ごめんなさい (was:確かに難しいですね) (スコア:0)
Re:オフトピですが (スコア:0)
・w3m/0.4.1
いずれも文字化けします。
アンチOpera? (スコア:1, 興味深い)
オープンもクローズドも関係ないですよ。
それはいいとして、safariのストーリーでもOperaマンセーな基地外が暴れてたような。
Operaの評判を落とそうとする工作員の臭いがする。
Re:アンチOpera? (スコア:0)
人格に不具合を抱えた方が暴れていらっしゃいますな。
季節の変わり目の所為か、最近は特に活動が活発であらせられる
ようですが。
流石に皆慣れ
Re:アンチOpera? (スコア:0)
Re:なんだ、結局カスブラウザか。 (スコア:0)
Re:なんだ、結局カスブラウザか。 (スコア:0)
Re:なんだ、結局カスブラウザか。 (スコア:1, 参考になる)
今日のこのストーリの一時間後に出たストーリ
Operaに再び簡単なセキュリティホールが発覚 [srad.jp]
Re:なんだ、結局カスブラウザか。 (スコア:0)
俺?
プニル信者なんで。
Re:なんだ、結局カスブラウザか。 (スコア:0)