IEの「戻る」ボタンは危険

IEの「戻る」ボタンは危険 34

ストーリー by kazekiri 2002年04月16日 11時39分
後退はすなわち負け部門より

jbeef曰く、"15日深夜ごろBUGTRAQに流れた記事によると、IEの「戻る」ボタンを押すと、cookieを盗まれたり、ローカルファイルを盗まれたり、ローカルコマンドを起動されたりする危険があるとのこと。発見者のデモを試してみると、デモページのリンクを辿ってGoogleサイトに飛び、そこで「戻る」ボタンを押した瞬間、Googleサイト用のcookieが抜き取られた。したがって、「怪しいサイトで変なリンクを辿ったら、戻ろうとせず、ウィンドウを閉じた方がいい」ということになる。

この欠陥の原因はおそらく次の通り。JavaScriptは、「<A HREF="javascript:alert(document.domain)">…</A>」といったようにURIとしても書くことができるのだが、このとき、このスクリプトは、実行前のページのドメイン上で動作する。ここまでは仕様通りなのだが、「戻る」ボタンで戻る先のURLが「javascript:…」であった場合に、戻る前のページのドメイン上でそれが動作してしまうらしく、そこに問題がある。そこで、そのスクリプトの内容を、「先に進むときには単に目的ページへ飛ばし、戻ってきたときには悪意ある処理をする」というif文とすることで、攻略できてしまったようだ。

発見者は、Microsoftへは去年の11月12日に報告し、さらに今年3月25日にも連絡したとのこと。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索34コメント Log In/Create an Account

怪しいサイト (スコア:1)

by Joga (8113) on 2002年04月16日 15時00分 (#82700)

＞怪しいサイトで変なリンクを辿ったら、戻ろうとせず、ウィンドウを閉じた方がいい

怪しいサイトではJavascriptを切るのが基本かと。
- Re:怪しいサイト (スコア:1)
  
  by nak (5484) on 2002年04月16日 15時44分 (#82714) ホームページ日記
  
  　しかし、JavaScriptが動かないと開けないサイトも有るワナ。
  　私は、IE使うときは全部ダイアログ出させてます、めんどくさいけど。
  
  シェア
  
  親コメント
  - Re:怪しいサイト (スコア:1)
    
    by oku (4610) on 2002年04月16日 21時21分 (#82861) 日記
    
    私は IE 使ってて JScript が必要な場合は HTML 読んでますが何か？
    
    シェア
    
    親コメント
    - Re:怪しいサイト (スコア:1)
      
      by sham (4555) on 2002年04月17日 16時10分 (#83269)
      
      okuさんに同じく。
      
      どうせＩＥが修正されたって、危ない事が出来る機能が動作するときに
      一律、危険って警告出すだけで、安全を判断できる情報が無い。
      結局、実行を止めるか、ソースを読んで解析するしかない。
      
      ソースの読めない人は、ＪＳｃｒｉｐｔ禁止でいいのでは。
      
      シェア
      
      親コメント
      - Re:怪しいサイト (スコア:2, すばらしい洞察)
        
        by tix (7637) on 2002年04月17日 23時02分 (#83451) ホームページ
        
        IE にセキュリティホールがなければ、ユーザがセキュリティの設定を正しく行えばスクリプトが危険なことをすることはできないので、ソースを読まなくてもいいはずなのです。
        
        sham さんはわかっているのかもしれませんが、ぼくは以前勘違いをしていたので念のため。
        
        もちろん、
        
        当分の間、 IE にセキュリティホールがなくなるとは思えない
        
        デフォルトの設定が正しくない（と思う。たしかスクリプトによるクリップボード貼り付けはデフォルトでインターネットゾーンに許可だったような、など）
        
        というのはもっともなので、
        どうせＩＥが修正されたって、
        というのが「修正されたと言ったってまだまだセキュリティホールが残っている and/or デフォルトの設定はひどいままだろうから」という意味なら、残念ながらその通りだと思います。
        
        --
        鵜呑みにしてみる？
        
        シェア
        
        親コメント
        
        問題、あなたのブラウザに搭載されているものは？ (スコア:1)
        
        by sham (4555) on 2002年04月18日 16時26分 (#83758)
        
        Ｗｅｂページの表現を強化するために使われるＳｃｒｉｐｔはどれ？
        
        １．ＪＡＶＡ　Ｓｃｒｉｐｔ
        ２．Ａｃｔｉｖｅ　Ｓｃｒｉｐｔ
        
        どれも正解といえますが、ＩＥの搭載されているＳｃｒｉｐｔは一言
        もＪＡＶＡＳｃｒｉｐｔと言ってない事に注意しましょう。
        ＭＳ独自の便利すぎる機能を仕様変更で安全側に変更しきらないかぎりバグを直しても安全とはいえませんよ。
        
        当然、ＩＥからバグがなくなる事は無いって思いも一緒ですから、結果的にこの引っ掛けを重視するほどの物ではありませんね。
        
        ＞　IE にセキュリティホールがなければ、ユーザがセキュリティの設定を正しく行えばスクリプトが危険なことをすることはできないので、ソースを読まなくてもいいはずなのです。
        
        はい。ＪＡＶＡＳｃｒｉｐｔにバグがなければ（比較的）安全なのはわかってます。
        それで、最新版ネスケの方が安心できますからね。
        ただ、4.xの頃と比べ、修正の迅速さが落ちてる事は気になります。
        
        シェア
        
        親コメント
        
        Re:問題、あなたのブラウザに搭載されているものは？ (スコア:1)
        
        by tix (7637) on 2002年04月18日 19時40分 (#83850) ホームページ
        
        どれも正解といえますが、ＩＥの搭載されているＳｃｒｉｐｔは一言
        もＪＡＶＡＳｃｒｉｐｔと言ってない事に注意しましょう。
        ＭＳ独自の便利すぎる機能を仕様変更で安全側に変更しきらないかぎりバグを直しても安全とはいえませんよ。
        ぼくの記憶では、 JavaScript は言語の名前ですが、 Active Scripting は言語の名前ではありません。 JavaScript と対比するべきなのは JScript では？
        
        それはともかく、 JavaScript と IE の scripting 機能を比較して、 IE の scripting が持つ危険な機能とは何のことでしょうか。
        
        一つ思い当たるのは、クリップボードのデータの読み出しです（書き込みも危険かも）。
        セキュリティの設定で禁止できますが、デフォルトが許可なのはよくないと思います。
        
        設定変更しても防げない危険な仕様って何かありましたっけ。
        
        --
        鵜呑みにしてみる？
        
        シェア
        
        親コメント
- Re:怪しいサイト (スコア:1)
  
  by din77 (6693) on 2002年04月16日 15時53分 (#82716)
  
  > 怪しいサイトではJavascriptを切るのが基本かと。
  
  つうか、IEなんか捨てるのが基本かと。
  
  シェア
  
  親コメント
  - Re:怪しいサイト (スコア:0)
    
    by Anonymous Coward
    
    > つうか、IEなんか捨てるのが基本かと。
    
    いや、IE は怪しいサイト専用にするのが基本かと。
    
    え？怪しいサイトに個人情報を入力してる？そんな豪快な人にはこんな問題とるに足らないはずだ。
    - Re:怪しいサイト (スコア:0)
      
      by Anonymous Coward
      
      　しいたけちゃんは毒キノコだったっつーコトですな(笑)
      - Re:怪しいサイト (スコア:0)
        
        by Anonymous Coward
        
        あの椎茸を・・ゲイツ様に届けてくれ・・・あれは、良いものだ！
        
        Re:怪しいサイト (スコア:0)
        
        by Anonymous Coward
        
        ヤバきのこ？
        どこですか～くりくりしましょぉ
  - Re:怪しいサイト (スコア:0)
    
    by Anonymous Coward
    
    IE を捨てろと端的に言うのはタブブラウザの文化といいますか、その便利さを知らない人の言かと思いますけど。これ、麻薬と同じです。一度つかったら抜けられない魅力があります。まぁ、危ないことには違いはないですが。
    
    安全で死ぬほど不便なツールよりは、いまいち安全でなくても便利なツールというのが、おそらく多くの一般ユーザーの希望です。
    - Re:怪しいサイト (スコア:0)
      
      by Anonymous Coward
      
      最近の Mozilla はタブ機能やポップアップ防止など最小公倍数的な便利能力はあるとおもうけども。
- JSPとかJavaとかが (スコア:0)
  
  by Anonymous Coward
  
  簡単にON/OFFできる「ボタン」がついているブラウザが欲しいなー。
  - Re:JSPとかJavaとかが (スコア:2, 参考になる)
    
    by hideakis (2762) on 2002年04月17日 13時37分 (#83197) 日記
    
    「ボタン」は無いけど、Operaなら「F12」-「J」でオフにできますよ。
    
    シェア
    
    親コメント
  - Re:JSPとかJavaとかが (スコア:0)
    
    by Anonymous Coward
    
    IEコンポーネント使用のタブブラウザは、その機能がついている事のほうが多いのでは？
    あと、JSPはServerSideなのでON/OFFできるもんじゃないですな
  - Re:JSPとかJavaとかが (スコア:0)
    
    by Anonymous Coward
    
    PCごとOFFになるかもしれないけどこれ [tripod.co.jp]とか
- Re:怪しいサイト (スコア:0)
  
  by Anonymous Coward
  
  怪しいサイトは怪しい^H^H^H新しいウィンドウをばしばし開いてくれる傾向があるようですから、この点については比較的安全なのではないかと思いますが。
  
  …ってそれはもう過去の話ですね。
不精は控えめに……？ (スコア:1)

by Landie(GRG) (6950) on 2002年04月17日 16時17分 (#83272) ホームページ

まれに？よく？見かけますが、

「ブラウザのボタンで戻ってください」

な記述。

たぶん「メニューに戻る」とかのリンクを張るのが面倒なんだろうと思うんですが……

「悪意」を疑われないうちに、自サイト内のリンクくらいマメに張りましょうね。
- Re:不精は控えめに……？ (スコア:1)
  
  by tix (7637) on 2002年04月17日 22時52分 (#83447) ホームページ
  
  今回の弱点との関係で言えば、同じセキュリティゾーンに属しているページ間で飛んでいるぶんには悪用の可能性はないと言えるのではないかと思います。
  
  弱点とは関係なく、ぼくは「戻るボタンで戻ってください」というのは好きではなく、サイトのトップなり目次なり、階層構造の1段上なりに、明示的にリンクを張ってほしいとは思いますが……。理由はいろいろ。なので、
  自サイト内のリンクくらいマメに張りましょうね。
  は賛成です。
  
  --
  鵜呑みにしてみる？
  
  シェア
  
  親コメント
  - Re:不精は控えめに……？ (スコア:1)
    
    by Landie(GRG) (6950) on 2002年04月18日 9時06分 (#83598) ホームページ
    
    >同じセキュリティゾーンに属しているページ間で飛んでいるぶんには
    
    確かにそうなんですが、「戻るボタンは危ない」が広まると(……広まるかなぁ)、「些細なことは気にしない」タイプの人が増えてきますからねぇ。
    (解説すると、何故危ないかを気にしないで、「危ない」事だけを気にしてしまう人たちのことです)。
    
    ついでに言うと私は、「JAVAスクリプトをONに」なんて書いてあるページ(しかもIE5推奨とか)を見ると、「何か企んでやがるなコイツ」と思ってしまうヒネた心の持ち主です。
    ……私も、「些細なこと」を気にしないといけませんかねぇ(笑)。
    
    シェア
    
    親コメント
ほかの弱点 (スコア:1)

by tix (7637) on 2002年04月19日 13時15分 (#84128) ホームページ

この弱点のことがセキュリティホール memo [ryukoku.ac.jp] にも載りました。

一緒に紹介されている IE allows universal Cross Site Scripting [jscript.dk] （とその変種）はもっと恐ろしいようです。

どの弱点が直っていて、どの弱点が残っているのか、既にわからなくなっているぼくみたいな人がたくさんいると思いますが、そういえば Unpatched IE security holes [jscript.dk] というページがあるのでした。以前セキュリティホール memo [ryukoku.ac.jp] でも紹介されていました。

--
鵜呑みにしてみる？
放置プレイ？仕様？ (スコア:0)

by Anonymous Coward on 2002年04月16日 12時49分 (#82641)

Alt+←が癖になってます。くわばらくわばら。
- Re:放置プレイ？仕様？ (スコア:1)
  
  by sham (4555) on 2002年04月17日 16時00分 (#83265)
  
  マウスの親指の位置のボタンに
  標準：元に戻す
  ＩＥ：戻る
  なんて、割り当てしてます。
  
  便利なんで普段使ってますが、ヤバイ状況ですね。
  
  信頼済みサイトだけＪＳ動作させて、インターネットは禁止にしてますが、この戻る問題の場合、どっちの権限で動くのでしょうね？
  
  シェア
  
  親コメント
  - Re:放置プレイ？仕様？ (スコア:2, 参考になる)
    
    by tix (7637) on 2002年04月18日 1時25分 (#83517) ホームページ
    悪意のある Web ページ http://malicious.site/ に、今回のデモのような方法で www.google.com の cookie を奪う罠が入っていたとすると、罠が機能するのは次のような状況です。
    
    まず1度悪意のあるサイト http://malicious.site/ のコンテクストでスクリプトが動作して、 http://www.google.com/ に自動的にジャンプします。次にユーザが「戻る」を押すと、同じスクリプトが今度は http://www.google.com/ のコンテクストで動作します。このとき cookie が盗まれます。
    
    なので、この場合 http://malicious.site/ からのスクリプトを実行しない設定になっていたら、罠は機能しません。
    
    ただし、インターネットゾーンで active scripting を無効に設定してあっても、「悪意のあるサイトからのスクリプトは無効にしているから安心」と言うのはたぶん早計で、
    
    DNS spoofing
    
    信頼しているサーバにじつは XSS 脆弱性があるかも
    
    などの可能性を考える必要があり、まだまだ安心できないと思います。
    
    --
    鵜呑みにしてみる？
    シェア
    
    親コメント
- Re:放置プレイ？仕様？ (スコア:0)
  
  by Anonymous Coward
  
  IBMのキーボードなんて矢印キーの上に戻る進むキーがあって、よく間違っておしちゃう。。。
  コワ。。。
  そういえばバックスペースで戻るのも癖になってる；；
  - Re:放置プレイ？仕様？ (スコア:1)
    
    by G7 (3009) on 2002年04月16日 14時00分 (#82672)
    
    >IBMのキーボードなんて矢印キーの上に戻る進むキーがあって、よく間違っておしちゃう。。。
    
    IBMとしても、こんなところでIEの穴が有るなんて思ってもみなかったでしょうね。
    穴があるかもと想定して作っておけ、なんてのは、ちょっと無体な要求かも。
    そういう意味ではIBMも被害者ですね。
    
    シェア
    
    親コメント
N 6.2.1PPGバージョンもおためしください (スコア:0)

by Anonymous Coward on 2002年04月17日 12時15分 (#83165)

http://www.cartoonnetwork.co.jp/cn_nn/default.asp
- Re:N 6.2.1PPGバージョンもおためしください (スコア:1)
  
  by ryoryoryo (5621) on 2002年04月17日 18時20分 (#83322) ホームページ日記
  
  PPG バージョンみたいなコンセプトはけっこうスキなんですけど、いかんせん派手さが足りないように感じます。もっと思い切って PPG なテーマにしちゃったほうがウケると思うんですけどね。
  
  というのはさておき、PPG バージョンは残念ながら 6.2.1 のままなんですよね。Netscape 6.2.2 がすでに出ているので 6.2.1 はなんらかの問題があると思われ、新規導入はあまりすすめられないのではないかと思います。
  
  # 時期的には zlib の問題あたりかなぁ
  
  新バージョンのリリース時にきちんとした ChangeLog をリリースしてくれない Netscape の姿勢にも不満はありますが……。
  
  シェア
  
  親コメント
- Re:「戻る」が怖い(当然おふとぴ) (スコア:1)
  
  by sham (4555) on 2002年04月17日 16時18分 (#83275)
  
  会社に「戻る」と又々々々・・･･…ＩＥに問題が見つかっていて、状況が怖いって事は多いです。
  
  シェア
  
  親コメント
- Re:「戻る」が怖い(当然おふとぴ) (スコア:1)
  
  by udonium (4048) <reversethis-{moc.xsocam} {ta} {nodu}> on 2002年04月17日 20時25分 (#83388) ホームページ日記
  
  「ホーム」ボタンを押してみましょう。
  
  --
  [udon]
  
  シェア
  
  親コメント
- Re:「戻る」が怖い(当然おふとぴ) (スコア:0)
  
  by Anonymous Coward
  
  最近、自社に帰って上司の顔を見るのがとても怖いのですが。。。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

IEの「戻る」ボタンは危険 34

IEの「戻る」ボタンは危険 More ログイン

怪しいサイト (スコア:1)

Re:怪しいサイト (スコア:1)

Re:怪しいサイト (スコア:1)

Re:怪しいサイト (スコア:1)

Re:怪しいサイト (スコア:2, すばらしい洞察)

問題、あなたのブラウザに搭載されているものは？ (スコア:1)

Re:問題、あなたのブラウザに搭載されているものは？ (スコア:1)

Re:怪しいサイト (スコア:1)

Re:怪しいサイト (スコア:0)

Re:怪しいサイト (スコア:0)

Re:怪しいサイト (スコア:0)

Re:怪しいサイト (スコア:0)

Re:怪しいサイト (スコア:0)

Re:怪しいサイト (スコア:0)

JSPとかJavaとかが (スコア:0)

Re:JSPとかJavaとかが (スコア:2, 参考になる)

Re:JSPとかJavaとかが (スコア:0)

Re:JSPとかJavaとかが (スコア:0)

Re:怪しいサイト (スコア:0)

不精は控えめに……？ (スコア:1)

Re:不精は控えめに……？ (スコア:1)

Re:不精は控えめに……？ (スコア:1)

ほかの弱点 (スコア:1)

放置プレイ？仕様？ (スコア:0)

Re:放置プレイ？仕様？ (スコア:1)

Re:放置プレイ？仕様？ (スコア:2, 参考になる)

Re:放置プレイ？仕様？ (スコア:0)

Re:放置プレイ？仕様？ (スコア:1)

N 6.2.1PPGバージョンもおためしください (スコア:0)

Re:N 6.2.1PPGバージョンもおためしください (スコア:1)

Re:「戻る」が怖い(当然おふとぴ) (スコア:1)

Re:「戻る」が怖い(当然おふとぴ) (スコア:1)

Re:「戻る」が怖い(当然おふとぴ) (スコア:0)

スラド