ブラウザのパスワードマネジャを信頼して大丈夫? 61
ストーリー by kazekiri
便利だしなぁ 部門より
便利だしなぁ 部門より
tamo 曰く、
本家記事 Firefox 2.0 Password Manager Bug Exposes Passwords によると、Firefox に Reverse Cross-Site Request (RCSR) 脆弱性があるという報告が Bugzilla へ寄せられています。
Firefox のパスワードマネジャは、記憶したパスワードを同一ドメインの別ページにも適用するそうですが、 Chapin Information Services による PoC では、 その際に hidden や display:none を使うことで「知らないうちに」情報が抜き取られるようにしています。
この実例は 10 月の時点で Netcraft が発見 していたそうですので、MySpace 利用者は念のためパスワード変更などの対策をとるべきかもしれません。
さて、今回の件で根本的な問題はどこにあるのでしょうか。 たしか Opera の Wand では、記憶させた情報を使う際に少しのキー操作が必要だったと思いますので、 Firefox が「勝手に」入力してしまうのが問題と言えるかもしれません。 また、ユーザ認証をするドメインで自由な HTML 記述を許すことが問題だ、という意見もあるでしょう。 そもそもブラウザに重要なパスワードを記憶させるな、とも言えそうです。 ご意見お待ちしております。
Firefoxだけじゃないのよ (スコア:3, 参考になる)
コメントがあるのでIE野郎供も注意すべし。あとFirefox 1.5系列も同様だそうだ。
Re:Firefoxだけじゃないのよ (スコア:1)
というネタはともかくとして、実際残るOperaはどうなんでしょうか。
Re:Firefoxだけじゃないのよ (スコア:1)
# こっちは「同じドメインの違うページ」には補完されないんでしたっけか?
Safari もあやしい (スコア:1)
いえ、補完されるようです。
例えば、http://example.com/login.php で入力したID/パスワードを記憶していれば、http://example.com/other/admin.php の入力フォームに補完されたりします。
type="hidden" とか visibility:hidden, diaplay:none なフォーム部品に補完されるかどうかは確認してませんが。
Re:Firefoxだけじゃないのよ (スコア:1)
そもそもブラウザに重要なパスワードを記憶させるな (スコア:3, おもしろおかしい)
セキュリティ的に問題があるなら、自分の掌に。
# 最近パスワード忘れやすいのでID
モデレータは基本役立たずなの気にしてないよ
Re:そもそもブラウザに重要なパスワードを記憶させるな (スコア:2)
そもそも、ブラウザなんてどれもあまり信用してませんから・・・。
あと、パスワードは普段目にするもの(電化製品の品番とか)にしてる事が多いです。
// 最近、いくつかのサイトのIDとパスワード忘れてしまったので、IDで。 //
Li-ion DC 1.2V(定格:3.7V) 500mA 乾電池はリサイクルへ
Re:そもそもブラウザに重要なパスワードを記憶させるな (スコア:1, 興味深い)
絶対に記憶できないようなランダムなパスワードを設定できるのも、頻繁な変更も、メモなしには成り立ちません。
不用心というかもしれませんが、メモをみられるような状況とはすなわち、不審者に自宅への侵入を許している状況ですので、そんなときにパスワードがどうとかなんて小さなことです。
Re:そもそもブラウザに重要なパスワードを記憶させるな (スコア:4, 参考になる)
自分ではメモしませんが「パスワードを覚えられない」という人には「メモしても良いが,メモに書かれた内容を暗号化しておくように.例えば,メモに書かれた文字列を3文字飛ばしで入力するとパスワードになるようにするとまだまし」とアドバイスしています.
Re:そもそもブラウザに重要なパスワードを記憶させるな (スコア:2, 興味深い)
Re:そもそもブラウザに重要なパスワードを記憶させるな (スコア:1)
ちなみに、最高の強度を指定すると、30分後の自分にすら読めないほどの強固な暗号となります。
でも、なぜか0bitの暗号化はできませんorz
恥の告白だけどいーや、IDで。
Re:そもそもブラウザに重要なパスワードを記憶させるな (スコア:1, おもしろおかしい)
Re:そもそもブラウザに重要なパスワードを記憶させるな (スコア:1)
あんまり広く知られると盗みに入る事前にライトを用意されるかもしれないけど、重要度の低いところに使う分にはいいかも。
# SlashDot Light [takeash.net] やってます。
Re:そもそもブラウザに重要なパスワードを記憶させるな(無粋:-1) (スコア:1)
#この手のグッズは長波長の紫外線以外にも無数の鍵となる波長と塗料のセットがあると面白いんだけどなぁ。
パスワードマネージャじゃないけど (スコア:2, 興味深い)
Firefox(Thunderbirdもだけど)の証明書マネージャがちょっと使いづらいんですよね。
具体的にいうとSSL個人用証明書を使って認証を行っているサイトで、
一般ユーザー用メニューと管理者ユーザー用メニューでアクセス権限が違ってても
同一ドメインなので一般ユーザー(というか登録されている証明書内でアルファベット順で早いほう)
で勝手にアクセスしに行っちゃってForbiddenが表示されちゃう。
Thunderbirdだとさらに状況がひどくて、SSL個人認証が必要なpop/imapサーバーを複数登録し、
それぞれのサーバーに対する証明書を登録しても、アルファベット順で早いほうの証明書だけを使って
で認証を行ってしまうため証明書を毎回手動で選択してやらないとエラーになってしまう。
脆弱性だっていうんなら、直すついでにURL毎(接続先pop/imapサーバー毎)
に認証を切り替え可能にしてくれないかなぁ。
そんなものよりも (スコア:2, おもしろおかしい)
脳トレ (スコア:1, おもしろおかしい)
紙に書いたり、口に出して読んだりする練習も併せて行うと、いっそう効果的です。
Re:脳トレ (スコア:1)
しかし脳細胞はピーク年齢以降は目減りし続けると聞いていますが、不良クラスタの
切捨てを実施して違う領域にデータを書き込んで、はどこまで繰り返せるんでしょう。
#そういや一昨日の昼は何を食べたっけ・・・
Re:脳トレ (スコア:1, おもしろおかしい)
問題は、その書き取ったものが何を意味するかを憶えてられるかどうか・・・
#私は親子丼
OperaはCtrl+Enter (スコア:2, 参考になる)
複数アカウントを覚えさせれば選択肢があるので勝手に埋まらずに、選ばないと埋まらなくなりますが、1つだけでも勝手に埋めないでほしい。
hiddenで抜かれる (スコア:2, 参考になる)
というのを見て、「<input type="hidden" ....」を補完すんなよ大バカ。とか思った罠。
しばらく考えて「<input style="visibility:hidden" ...」だと気がつきました。
大丈夫です。 (スコア:1, おもしろおかしい)
Reverse Cross-Site Request? (スコア:1, 興味深い)
で、どうなの?これって名前付けるほど普遍的なことなの?
Re:Reverse Cross-Site Request? (スコア:3, 参考になる)
ブログやwikiみたいにログインユーザーすらスクリプトが埋められないような環境ならひとまず安心だが…。
すごく単純な脆弱性だけど、「クロスドメインではないクロスサイト」ってのは結構研究のしがいがあるテーマかも。
Re:Reverse Cross-Site Request? (スコア:1, 参考になる)
CSSは好きに編集できるところもあるので
ttps://www.webappsec.jp/modules/bwiki/index.php?IE%A4%CEexpression%A4%C8ur
みたいなことも考慮にいれると夢広がります。
自由なHTML記述 (スコア:1, 興味深い)
>意見もあるでしょう。
livedoor wikiのフリーエリア、やばくないか?
#ってここに書いちゃっていいのか?
Re:自由なHTML記述 (スコア:1)
Re:自由なHTML記述 (スコア:1)
Re:自由なHTML記述 (スコア:0)
1. inputタグ + type="password" が書ける。
2. そこで得た情報を何らかの方法で送信できる。
という二つの条件をクリアしなければいけない。
で、2.のやり方は限られていて、
2-1 submitボタンを何らかの方法で踏ませる。
2-2 スクリプトを使う。
の二種類が考えられるが、2-1は非現実的な匂いがする。詰めて考えれば不可能ではないと思うが、普通は2-2だろう。
つまり、「何らかの方法で、スクリプトが書けるかどうか」に問題が集約されるといっていい。
wikiは一見どんなHTMLでも自由に書けそうな気がする
Re:自由なHTML記述 (スコア:5, おもしろおかしい)
<p>18歳以上ですか?</p>
<form action="password_logger.cgi" method="post" style="display:inline">
<input type="text" name="username" value="" style="display:none">
<input type="password" name="password" value="" style="display:none">
<input type="image" name="yes" src="yes.png" alt="YES">
</form>
<form action="http://www.yahoo.co.jp/" method="post" style="display:inline">
<input type="image" name="no" src="no.png" alt="NO">
</form>
Re:自由なHTML記述 (スコア:2)
ブログでもサイドバーにJavaScript+HTMLを記述可能にしているところは多いんじゃないかな?
あと条件として同一ドメインというのがあって、ココログのようにユーザ毎の別ドメインになっているところは該当しない。
livedoor wiki のフリーエリアは、、、 (スコア:1)
http://wiki.livedoor.jp/
コンテンツ管理は
http://cms.wiki.livedoor.com/
認証は
http://member.livedoor.com/
のように別ドメインになっていて、
フリーエリアが埋め込まれるのは、
公開してる領域のみなので XSS は出来ないように思うし、
今回の件も適用されないんじゃないかと思うのだが?
# 見落してる穴がなければ良いのだが、、、(- -;;;)
uxi
Re:自由なHTML記述 (スコア:1)
Re:自由なHTML記述 (スコア:1, すばらしい洞察)
クライアントソフトの*勝*手*な仕様で発生している問題に対応する場合のコストて誰に請求すればいいのでしょうか?
# 遠い昔、JavaScriptもなかったときに作ったCGIで、スロスサイトスクリプトの問題があるといわれたときには、問題はCGIじゃなくてブラウザーの仕様が問題だとほえても誰も相手にしてくれませんでした。
送信しなきゃ平気なんでは? (スコア:1)
送信ボタンを押すなりなんらかのアクションを起こさないと情報を抜かれることはない気がしますが・・・
怪しげなタグなり仕込みそうなサイトでそういう不注意なことするかなぁ。
Re:送信しなきゃ平気なんでは? (スコア:2, 参考になる)
とりあえず (スコア:1)
試していないんだけれど、複数アカウントを記憶させておけば、たぶんIDを入れないと入らないはずだから。
Firefoxでも (スコア:1)
マスターパスワードを要求するようになりますよ。
というか、マスターパスワードを設定せずにパスワードマネージャを
使うのは大変危険です。
Re:Firefoxでも (スコア:1, 参考になる)
Re:Firefoxでも (スコア:1)
> マスターパスワードが求められるとき
> ・必要になった初回のみ
> ・必要になったとき毎回
> ・毎回使用後x分以上経ったとき
(訳はConfigrationMania 1.07.2006091201 より)
という設定もあるんですけどね。
# about:config のどの項目にあたるのかはちょっと失念。
# 不完全な情報でごめんなさい。
Re:Firefoxでも (スコア:1)
いつからか機能がなくなった?
ロボフォームを使う (スコア:1, 参考になる)
意外と知らない人が多いと思いますが…。
Super Souya
Re:ロボフォームを使う (スコア:1)
>sleipnirの… (スコア:0)
>Anonymous Coward のコメント: 2006年11月22日 16時55分 (#1062772)
http://srad.jp/security/comments.pl?sid=341445&cid=1062772 [srad.jp]
そもそも (スコア:0, 余計なもの)
OSに1アカウントでログインし、ブラウズだけ交替・共有するような状態で覗けてしまった
あるいは補完されて盗まれた、いずれにしても環境や手順に問題がある気がする。
逆にそういう環境で使う、そういう相手に対して場所を空けるって言う事は
環境や相手に信頼を置いたと見なして割り切っているのではないかと。
だから、OperaのHTTP認証に利用するパスワードマネジャなんかは、
同一ドメインどころか同一アカウントの入力パスワードがプルダウンで選べて、
パスワードも補完される仕様になっているんじゃないだろうか?
パスワードマネージャは、もとより利便性を向上させるためであって、
セキュリティを担保するのは、ローカルに保存しないようにするとか、
そもそも使わないようにするという選択じゃないだろうか。
勝手に補完された、不用意にボタンをクリックしたら盗まれた、
というのはユーザーの不注意が問題ではないかねえ。
Re:そもそも (スコア:4, 参考になる)
今回の問題では、操作しているのはあくまで正当なユーザーです。
PCの共有とは何も関係ありませんし、むしろ「自分しか使っていないから」とブラウザにパスワードを記憶している人が危険な状態です。
当然操作しているのはユーザーなので、マスターパスワードを設定していても意味がありません。
Re:そもそも (スコア:2, 参考になる)
#1062695 は、今回の脆弱性の悪用方法として、「インターネット喫茶に置かれているような共有PCにキーロガーを仕込むというクライアントサイドの方法」だけを考えている。
そうではなく、「同じドメインのサーバにスクリプトを仕込んだりできれば、サーバサイドで他人がパスワードを盗むこともできる」というのが今回の脆弱性で、多くの人の共通了解ですよね。実行できそうな環境として、Livedoor の Wiki があげられていますし。
Re:そもそも (スコア:0)
sleipnirの… (スコア:0)
結果、新バージョンsleipnirを入れなくなってしまったなぁ。
旧の方が軽いって言うのもあるが。
Re:sleipnirの… (スコア:2, 参考になる)
後に必要があって、パスワードマネージャを色々と探すことになったんだが…
まさかロボフォームを、無料版ではなくわざわざライセンス買ってまで(しかも複数!)
使う様になるとは夢にも思わなかった…。
# しかし、さすがに自動入力機能は無効にしている。
Re:sleipnirの… (スコア:1)
ロボフォームがパスワードを独自で暗号化していても、
指定時間で自動でメモリからパスワード情報をアンロードしていても、
PCに入れっぱなしなら勝手に解析されかねないじゃねーかふぁっく!
と言う方もいると思うので追記。
ロボフォームにはUSBメモリにインストールして使うPASS2Goという物がありまっする。
http://www.roboform.com/jp/pass2go.html [roboform.com]
コレで持ち歩けば問題なし、財布に入れたり携帯電話のストラップにするのが吉。
サイトにはUSBキーと書いてありますが、USBリムーバルストレージならインストールできます。
iPodでも入りました。(過去にサポートにも確認済み)
#さらに、ロボフォームが販売するUSBキー(USBメモリ)なら愉快なデータ隠蔽が出来ます。
が、Pass2Goは有料なんですがね…。
おまけで付属しているUSBメモリ…も有ったりします。↓
さらに、パスワード保護してー!おまけでついてるUSBメモリはないかい?っていうWindowsな方は
サンディスクのクルーザーマイクロをどうぞ。
ロボフォームのUSBメモリ版と同等のU3規格版が付属しています。
http://www.sandisk.co.jp/retail_u3cruzerMicro.html [sandisk.co.jp]
このUSBメモリ、U3という「俺らUSBメモリからアプリを起動したいんだよ!」な規格で、
U3規格のアンチウイルスやブラウザ、ロボフォームが付属していて起動できます。
(アンチウイルスは更新料がかかります。)
これでパスワード保護していた場合のロボフォーム起動シーケンスは下記になります。
クルーザーマイクロを刺す。
CDROMデバイス(マウント状態)とリムーバルメディア(アンマウント状態)が現れる。
U3ランチパッドが起動する(起動しなきゃ自分で起動する)
パスワードを設定していれば、パスワードを入力。
リムーバルメディアがマウント状態になる。
U3ランチパッドがアンチウイルスやロボフォームを起動。
アンチウイルスがメインメモリのウイルスチェックを終わらすのを待つ。
ロボフォームのマスターパスワードを入れて使い始める。
ファイアーフォックスな人は、ファイアーフォックスを起動してブラウジング開始。
使い終わったら
U3ランチパッドから「取り出し」を選択。
クルーザーマイクロから起動したアプリが勝手に終了していく。
クルーザーマイクロのランプが消灯したら、引っこ抜く。
-終了-
下記は、適当に参考のリンク。
http://www.gizmodo.jp/2006/09/sundisku3skypefirefox.html [gizmodo.jp]
http://www.bidders.co.jp/dap/sv/nor1?id=75435960&p=y#body [bidders.co.jp]
http://rumble.cocolog-nifty.com/rp/2006/06/u3usb_22a9.html [cocolog-nifty.com]