パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ユーザーのログイン情報を盗む Google Chrome エクステンションのコード」記事へのコメント

  • 本家 /. 記事によると、ユーザーのログイン情報を盗む Internet Explorer 向けのエクステンションのコードが公開されたとのこと (作成者のブログ記事) 。

    このエクステンションは IE のセキュリティ上の問題を実証するために開発されたとのことで、Web サービスへのログインの際に使われるフォームに入力された ID やパスワードを盗み、Ajax を使って特定のサイトに送信するというものだそうだ。ブログ上でコードの解説も行われている。

    作成者である Foo Bar 氏が記事で補足しているが、このエクステンションは Internet Explorer のリポジトリ

    • by Anonymous Coward

      言いたいことが良く分からないんだが、
      要するにこの「コード」はChromeに限らず、
      そっくりそのまま他のブラウザのエクステンションに当てはまる(移植できる)って事?

      そういう技術的な実証と言うか根拠が素人さんの俺には分からんのだが、
      コピペだと信憑性0なのでもうちょっと技術的な解説を希望。

      • んー。というかこの話は、ブラウザの優劣を扱う話じゃありません。
        だからこのコピペ自体が的外れですし。「出来るのかよ」とかそういう話も方向性が違います。

        こう書けば、わかりやすいでしょうか。
        また、これは 【ブラウザ名】 の重大な脆弱性を指摘するようなものではなく、サードパーティ製のアプリケーションをインストールする際に留意するべき点を気付かせ、【ブラウザ名】 を「最も安全なブラウザ」として盲信しないよう注意を喚起するためである、としている。

        どんなブラウザであれサードパーティを入れた時点で安全性から離れるという話です。
        もちろんIEだって、サードパーティによって情報漏洩させることは、出来ますよ。
        純粋に送信データ抜き取って、別途socket通信でやりとりしちゃってもいいですし。
        私が以前やった仕事の中では、IEが内部で持ってるインタフェイス探して、こねくり回したこともあります。

        例えば……。HTTPSですら送信データが見れるieHTTPHeaderというアドオンがありますが
        こいつは、HTTPS通信ですら(試しに、ヤフオクに行って、ログインしてみました)

        POST /config/login? HTTP/1.1
        ...(省略)....
        ...(省略)....protoctl=&login=chiether882323&passwd=...(秘匿)...&x=36&y=23

        こんな感じで見ることができます。
        これがもし悪意あるアドオンで。表に見えない部分で送信データを漏洩させていたらどうします?
        (悪いことの例に使って、ごめんね。Jonas Blunck.)

        もっと言えばブラウザだけじゃなくて、ありとあらゆるアプリケーションが同じことが言えます。
        昔あった ProjectOrca(Dolphine)という「キーボード叩いた数を世界中で競う」というネタ企画でインストールするアプリケーションですら「変な通信してない? 大丈夫?」って、怖がる人がいれば「サイズ的に大丈夫だと思う」とか情報交流があったもんです。

        ほらほら。そこの貴方。
        サードパーティーなツール使ってるから「やぁボクBOT!!」なんて喋ってますよ。
        ちゃんと中身確認しないから……。

        --
        ==========================================
        投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
        親コメント

日々是ハック也 -- あるハードコアバイナリアン

処理中...