パスワードを忘れた? アカウント作成
2800 story

IEの「戻る」ボタンは危険 34

ストーリー by kazekiri
後退はすなわち負け 部門より

jbeef曰く、"15日深夜ごろBUGTRAQに流れた記事によると、IEの「戻る」ボタンを押すと、cookieを盗まれたり、ローカルファイルを盗まれたり、ローカルコマンドを起動されたりする危険があるとのこと。発見者のデモを試してみると、デモページのリンクを辿ってGoogleサイトに飛び、そこで「戻る」ボタンを押した瞬間、Googleサイト用のcookieが抜き取られた。したがって、「怪しいサイトで変なリンクを辿ったら、戻ろうとせず、ウィンドウを閉じた方がいい」ということになる。

この欠陥の原因はおそらく次の通り。JavaScriptは、「<A HREF="javascript:alert(document.domain)">…</A>」といったようにURIとしても書くことができるのだが、このとき、このスクリプトは、実行前のページのドメイン上で動作する。ここまでは仕様通りなのだが、「戻る」ボタンで戻る先のURLが「javascript:…」であった場合に、戻る前のページのドメイン上でそれが動作してしまうらしく、そこに問題がある。そこで、そのスクリプトの内容を、「先に進むときには単に目的ページへ飛ばし、戻ってきたときには悪意ある処理をする」というif文とすることで、攻略できてしまったようだ。

発見者は、Microsoftへは去年の11月12日に報告し、さらに今年3月25日にも連絡したとのこと。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Joga (8113) on 2002年04月16日 15時00分 (#82700)
    >怪しいサイトで変なリンクを辿ったら、戻ろうとせず、ウィンドウを閉じた方がいい

    怪しいサイトではJavascriptを切るのが基本かと。
    •  しかし、JavaScriptが動かないと開けないサイトも有るワナ。
       私は、IE使うときは全部ダイアログ出させてます、めんどくさいけど。
      親コメント
      • by oku (4610) on 2002年04月16日 21時21分 (#82861) 日記
        私は IE 使ってて JScript が必要な場合は HTML 読んでますが何か?
        親コメント
        • by sham (4555) on 2002年04月17日 16時10分 (#83269)
          okuさんに同じく。

          どうせIEが修正されたって、危ない事が出来る機能が動作するときに
          一律、危険って警告出すだけで、安全を判断できる情報が無い。
          結局、実行を止めるか、ソースを読んで解析するしかない。

          ソースの読めない人は、JScript禁止でいいのでは。
          親コメント
          • Re:怪しいサイト (スコア:2, すばらしい洞察)

            by tix (7637) on 2002年04月17日 23時02分 (#83451) ホームページ
            IE にセキュリティホールがなければ、ユーザがセキュリティの設定を正しく行えばスクリプトが危険なことをすることはできないので、ソースを読まなくてもいい はず なのです。

            sham さんはわかっているのかもしれませんが、ぼくは以前勘違いをしていたので念のため。

            もちろん、
            • 当分の間、 IE にセキュリティホールがなくなるとは思えない
            • デフォルトの設定が正しくない(と思う。たしかスクリプトによるクリップボード貼り付けはデフォルトでインターネットゾーンに許可だったような、など)
            というのはもっともなので、
            どうせIEが修正されたって、
            というのが「修正されたと言ったってまだまだセキュリティホールが残っている and/or デフォルトの設定はひどいままだろうから」という意味なら、残念ながらその通りだと思います。
            --
            鵜呑みにしてみる?
            親コメント
            • Webページの表現を強化するために使われるScriptはどれ?

              1.JAVA Script
              2.Active Script

              どれも正解といえますが、IEの搭載されているScriptは一言
              もJAVAScriptと言ってない事に注意しましょう。
              MS独自の便利すぎる機能を仕様変更で安全側に変更しきらないかぎりバグを直しても安全とはいえませんよ。

              当然、IEからバグがなくなる事は無いって思いも一緒ですから、結果的にこの引っ掛けを重視するほどの物ではありませんね。

              > IE にセキュリティホールがなければ、ユーザがセキュリティの設定を正しく行えばスクリプトが危険なことをすることはできないので、ソースを読まなくてもいい はず なのです。

              はい。JAVAScriptにバグがなければ(比較的)安全なのはわかってます。
              それで、最新版ネスケの方が安心できますからね。
              ただ、4.xの頃と比べ、修正の迅速さが落ちてる事は気になります。
              親コメント
              • どれも正解といえますが、IEの搭載されているScriptは一言
                もJAVAScriptと言ってない事に注意しましょう。
                MS独自の便利すぎる機能を仕様変更で安全側に変更しきらないかぎりバグを直しても安全とはいえませんよ。
                ぼくの記憶では、 JavaScript は言語の名前ですが、 Active Scripting は言語の名前ではありません。 JavaScript と対比するべきなのは JScript では?

                それはともかく、 JavaScript と IE の scripting 機能を比較して、 IE の scripting が持つ危険な機能とは何のことでしょうか。

                一つ思い当たるのは、クリップボードのデータの読み出しです(書き込みも危険かも)。
                セキュリティの設定で禁止できますが、デフォルトが許可なのはよくないと思います。

                設定変更しても防げない危険な仕様って何かありましたっけ。
                --
                鵜呑みにしてみる?
                親コメント
    • by din77 (6693) on 2002年04月16日 15時53分 (#82716)
      > 怪しいサイトではJavascriptを切るのが基本かと。

      つうか、IEなんか捨てるのが基本かと。
      親コメント
      • by Anonymous Coward

        > つうか、IEなんか捨てるのが基本かと。

        いや、IE は怪しいサイト専用にするのが基本かと。

        え?怪しいサイトに個人情報を入力してる?そんな豪快な人にはこんな問題とるに足らないはずだ。

      • by Anonymous Coward
        IE を捨てろと端的に言うのはタブブラウザの文化といいますか、その便利さを知らない人の言かと思いますけど。これ、麻薬と同じです。一度つかったら抜けられない魅力があります。まぁ、危ないことには違いはないですが。

        安全で死ぬほど不便なツールよりは、いまいち安全でなくても便利なツールというのが、おそらく多くの一般ユーザーの希望です。
        • by Anonymous Coward
          最近の Mozilla はタブ機能やポップアップ防止など 最小公倍数的な便利能力はあるとおもうけども。
    • by Anonymous Coward
      簡単にON/OFFできる「ボタン」がついているブラウザが欲しいなー。
    • by Anonymous Coward
      怪しいサイトは怪しい^H^H^H新しいウィンドウをばしばし開いてくれる傾向があるようですから、この点については比較的安全なのではないかと思いますが。

      …ってそれはもう過去の話ですね。
  • まれに?よく?見かけますが、

    「ブラウザのボタンで戻ってください」

    な記述。

    たぶん「メニューに戻る」とかのリンクを張るのが面倒なんだろうと思うんですが……

    「悪意」を疑われないうちに、自サイト内のリンクくらいマメに張りましょうね。
    • 今回の弱点との関係で言えば、同じセキュリティゾーンに属しているページ間で飛んでいるぶんには悪用の可能性はないと言えるのではないかと思います。

      弱点とは関係なく、ぼくは「戻るボタンで戻ってください」というのは好きではなく、サイトのトップなり目次なり、階層構造の1段上なりに、明示的にリンクを張ってほしいとは思いますが……。理由はいろいろ。なので、
      自サイト内のリンクくらいマメに張りましょうね。
      は賛成です。
      --
      鵜呑みにしてみる?
      親コメント
      • >同じセキュリティゾーンに属しているページ間で飛んでいるぶんには

        確かにそうなんですが、「戻るボタンは危ない」が広まると(……広まるかなぁ)、「些細なことは気にしない」タイプの人が増えてきますからねぇ。
        (解説すると、何故危ないかを気にしないで、「危ない」事だけを気にしてしまう人たちのことです)。

        ついでに言うと私は、「JAVAスクリプトをONに」なんて書いてあるページ(しかもIE5推奨とか)を見ると、「何か企んでやがるなコイツ」と思ってしまうヒネた心の持ち主です。
        ……私も、「些細なこと」を気にしないといけませんかねぇ(笑)。
        親コメント
  • by tix (7637) on 2002年04月19日 13時15分 (#84128) ホームページ
    この弱点のことがセキュリティホール memo [ryukoku.ac.jp] にも載りました。

    一緒に紹介されている IE allows universal Cross Site Scripting [jscript.dk] (とその変種)はもっと恐ろしいようです。

    どの弱点が直っていて、どの弱点が残っているのか、既にわからなくなっているぼくみたいな人がたくさんいると思いますが、そういえば Unpatched IE security holes [jscript.dk] というページがあるのでした。以前セキュリティホール memo [ryukoku.ac.jp] でも紹介されていました。
    --
    鵜呑みにしてみる?
  • by Anonymous Coward on 2002年04月16日 12時49分 (#82641)
    Alt+←が癖になってます。くわばらくわばら。
    • by sham (4555) on 2002年04月17日 16時00分 (#83265)
      マウスの親指の位置のボタンに
      標準:元に戻す
      IE:戻る
      なんて、割り当てしてます。

      便利なんで普段使ってますが、ヤバイ状況ですね。

      信頼済みサイトだけJS動作させて、インターネットは禁止にしてますが、この戻る問題の場合、どっちの権限で動くのでしょうね?
      親コメント
      • by tix (7637) on 2002年04月18日 1時25分 (#83517) ホームページ
        悪意のある Web ページ http://malicious.site/ に、今回のデモのような方法で www.google.com の cookie を奪う罠が入っていたとすると、罠が機能するのは次のような状況です。

        まず1度悪意のあるサイト http://malicious.site/ のコンテクストでスクリプトが動作して、 http://www.google.com/ に自動的にジャンプします。次にユーザが「戻る」を押すと、同じスクリプトが今度は http://www.google.com/ のコンテクストで動作します。このとき cookie が盗まれます。

        なので、この場合 http://malicious.site/ からのスクリプトを実行しない設定になっていたら、罠は機能しません。

        ただし、インターネットゾーンで active scripting を無効に設定してあっても、「悪意のあるサイトからのスクリプトは無効にしているから安心」と言うのはたぶん早計で、
        • DNS spoofing
        • 信頼しているサーバにじつは XSS 脆弱性があるかも
        などの可能性を考える必要があり、まだまだ安心できないと思います。
        --
        鵜呑みにしてみる?
        親コメント
    • IBMのキーボードなんて矢印キーの上に戻る進むキーがあって、よく間違っておしちゃう。。。
      コワ。。。
      そういえばバックスペースで戻るのも癖になってる;;
      • by G7 (3009) on 2002年04月16日 14時00分 (#82672)
        >IBMのキーボードなんて矢印キーの上に戻る進むキーがあって、よく間違っておしちゃう。。。

        IBMとしても、こんなところでIEの穴が有るなんて思ってもみなかったでしょうね。
        穴があるかもと想定して作っておけ、なんてのは、ちょっと無体な要求かも。
        そういう意味ではIBMも被害者ですね。
        親コメント
  • by Anonymous Coward on 2002年04月17日 12時15分 (#83165)
    http://www.cartoonnetwork.co.jp/cn_nn/default.asp
    • PPG バージョンみたいなコンセプトはけっこうスキなんですけど、いかんせん派手さが足りないように感じます。もっと思い切って PPG なテーマにしちゃったほうがウケると思うんですけどね。

      というのはさておき、PPG バージョンは残念ながら 6.2.1 のままなんですよね。Netscape 6.2.2 がすでに出ているので 6.2.1 はなんらかの問題があると思われ、新規導入はあまりすすめられないのではないかと思います。

      # 時期的には zlib の問題あたりかなぁ

      新バージョンのリリース時にきちんとした ChangeLog をリリースしてくれない Netscape の姿勢にも不満はありますが……。
      親コメント
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...