パスワードを忘れた? アカウント作成
Close
4754 story

IEのXSSバグで任意サイトのCookieが漏洩 56

ストーリー by yourCat
久しぶりだな 部門より

jbeef曰く、"現時点でIEはcookieを盗まれ得るブラウザである。cookieを盗まれると致命傷となるサイトの利用には注意が必要だ。12月に2つのcookieが漏洩する脆弱性が報告されたが、まだパッチが出ていない。
1つ目の脆弱性は、JScriptの「showModalDialog()」メソッドにあり、任意のWebサイトのcookieが盗まれ得る。その3番目の引数にはスタイルシート同様の記述ができるため、そこに「expression(execScript(...))」 と書くことで任意のJavaScriptを動かすことができてしまう。Modal Dialogでは任意のWebサイトを表示できるため、表示させたWebページのドメイン上で先のスクリプトを実行させられる。このため、そこのドメイン上で有効なcookieを盗まれることになる。 (発見者はこれをcross-site scriptingと分類しているが、欠陥の原因となる原理がそれとは異なるので、BUGTRAQ脆弱性DBでは「Same Origin Policy Bypass」と分類している。)
2つ目の脆弱性は、ウィンドウで直接「.swf」などのファイルを開く機能にある。IEは、フラッシュなどのファイルを直接開くとき、それを貼り付けたHTMLを内部的に生成しているのだという。このHTMLの生成過程に、クロスサイトスクリプティング(XSS)脆弱性があるため、「http://example.com/flash.swf?"><script>...</script>」というURLにアクセスしたときにスクリプトがそのドメイン上で動いてしまう。cookieを大事なことに使い、フラッシュも欠かせないサイトでは特に注意が必要だろう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEのXSSバグで任意サイトのCookieが漏洩 More

  • 回避方法 (スコア:3, 参考になる)

    by jbeef (1278) on 2003年01月19日 17時27分 (#238547) 日記
    一般的なクロスサイトスクリプティング脆弱性に対する回避方法 (ただし、cookieを盗まれる脅威の回避)と同様に、 ユーザ側には以下の回避方法があります。
    • 利用するサイトが発行するcookieの有効期限を調べ、 セッション限りでないcookieを発行してくるなら、 それが盗まれるとどんな脅威があるかを考える。 それが致命的な結果となると思うなら、 毎回cookieを削除するようにする。 cookieの削除はボタン一発操作でできる [ryukoku.ac.jp]。
    • 発行されるcookieがセッション限りのものなら、 次の点に注意すれば安全である。
      • ログイン中に他のサイトを見に行かない。(HTMLメールの表示を有効にしているなら、メールも読まないようにする。)
      • サイトの利用を終えたら必ず、 サイトのログアウト機能を使用し(これにより、サイト側でセッションIDが無効化される(場合がある))、 ブラウザを一旦終了する(これによりセッションcookeiを破棄する)。
      • 利用するサイト内に、掲示板などの不特定多数が記入できるサービスがある場合は、そこに入らないように注意したほうがよい(もしそこに別のクロスサイトスクリプティング脆弱性があると、 見ただけで外のサーバに飛ばされることが起こり得る)。
    サイト運営者側の回避策は以下のことくらいでしょうか。
    • Cookieを漏洩する欠陥のあるブラウザを使わないよう、お客様に注意する。ブラウザの欠陥情報を入手して、いち早くお客様に伝える。
  • 大丈夫なのかな . . .。

    ショッピングサイトなど絶対的なセキュリティの求められるサイトでは、 クッキーの安易な使い方などはされていないと期待したいところですが、 どうもその期待は楽観的すぎるようなので . . .。

    --
    use Test::More 'no_plan';

    • Re:こんなに具体的に書いて、 (スコア:2, 参考になる)

      by tanh (4900) on 2003年01月19日 13時50分 (#238466)
      結局、ユーザ側でcookieの値をチェックして、アカウントIDやメールアドレスのような安易な値が使われていないかどうかを判断するしかないのでしょうか。ログインする度に、毎回異なるセッションIDがcookieとして送られてくるかどうかとか。

      cookie以外にも注意すべき点がたくさんあるのですが、参考までにリンクを張っておきます。
      「安全なWebアプリ開発 31箇条の鉄則」 [java-house.jp]
      シェア
      親コメント
    • どんなに危機にさらされていても、実害が出ないと動けない所は、実害が出てからでないと、何も変えないでしょう。

      この情報で、攻撃手法は増えても、危機の度合いは変わらないのではないかと……
      シェア
      親コメント

      • Re:こんなに具体的に書いて、 (スコア:2, 参考になる)

        by torus (9980) on 2003年01月19日 0時46分 (#238205) ホームページ 日記
        んー、攻撃のしかたはこんなに分かりやすく書いてあるのに、 危険を防ぐための情報は書いてないのは、 やっぱりちょっと、っておもいます。

        もちろんこういうときに、 ろくな対応がとれないだめなサイトを使っているユーザが悪いということはいくらでもいえますが、 だからといって見殺しにもできないですよねぇ。

        スラッシュドットという、 それなりに大きなコミュニティを持つウェブサイトのトップページで、 しかも初心者にも分かるように懇切丁寧に攻撃のためのコードの書き方を解説しているのって、 危険性が増えるとかいう以前に、 やっぱりちょっと問題だと思います。

        --
        use Test::More 'no_plan';
        シェア
        親コメント
    • 具体的に説明されなかったとして、あなたはこうして警戒心を持てただろうか?
      知らなければ平気?
      • んーと、ぼくが警戒するとかどうかじゃなくって、 これらの危険にさらされる多くのユーザのことをいいたいんですけど。
        --
        use Test::More 'no_plan';
        シェア
        親コメント
        • じゃあ、あんたが周りの何も知らないユーザに啓蒙すればいい。
        • >んーと、ぼくが警戒するとかどうかじゃなくって、これらの危険にさらされる多くのユーザのことをいいたいんですけど。

          ここに記事が載ろうと、載るまいと、
          多くのユーザはこれらの危険にさらされているってことを
          理解していますか?
          • なんか完全自殺マニュアルの作者みたいな言い訳ですな。

            情報を発信する人間にはそれなりに責任が発生するものだよ。
            その責任を負えないのであれば黙っていれば良い。
            別に世界はあなたの言葉など必要としていないんだから。
      • とりあえず一名、
        具体的に書いた結果危機感だけを抱いて問題点や対処法を
        思いつかない人がでてきたわけですね。
        • >とりあえず一名、
          >具体的に書いた結果危機感だけを抱いて問題点や対処法を
          >思いつかない人がでてきたわけですね。

          木のウロに手を突っ込んで中のドングリを握りしめて、
          「手が抜けなくなっちゃったよどうしよう?」ってレベルの話だと
          思うんですけど。

          どうしましょう? :)
          • >どうしましょう? :)
            ・IE(IEコンポーネントブラウザも含む)を使わない
            以上!
            個人的にはOperaかw3mがおすすめです

            とはいっても パッチ置き場のマイクロソフトのサイトが他のブラウザだとボロボロだしなぁ
            何とかしてくれマイクロソフト

            >木のウロに手を突っ込んで中のドングリを握りしめて、
            >「手が抜けなくなっちゃったよどうしよう?」ってレベルの話だと
            >思うんですけど。
            いっそWindowsと手を切るしか
            # いいかげん乗り換えたいと思うけど 自分はいまだに手を切れてない
            シェア
            親コメント

            • Re:こんなに具体的に書いて、 (スコア:2, 参考になる)

              by Nekojarashi (12812) on 2003年01月19日 10時01分 (#238377)
              とはいっても パッチ置き場のマイクロソフトのサイトが他のブラウザだとボロボロだしなぁ
              何とかしてくれマイクロソフト

              Microsoftのサイト“のみ”IEを使う。
              私はそうしてます。

              Windowsに標準で付属してる、Microsoftのサイト専用アクセスソフト。
              そう思えば割と平和な気分でいられます。

              シェア
              親コメント
              • >Microsoftのサイト“のみ”IEを使う。
                過去にそれすら危ない事がありましたが

                結局アップデート以外使わないよう心掛けていますが...

                #IE使わないとMSのサイトすら見ませんが、一般じゃ脆弱パッチの説明読んでも約に立ちませんよ。
                #必要なのはアップデートだけです。
              • 過去にそれすら危ない事がありましたが

                うむ。
                もちろん知ってるし、Microsoftのサイトが本当に信頼できるものだなんて思ってもいない。

                んでも、あそこを見ないと仕事にならないケースが少なからずあったりするので、リスクは覚悟の上での処置でございます。

                …見てるのは、ほとんどの場合MS製品の怪しげな挙動に対する対処法を知るためなので、あそこの製品がもう少しまともなものなら、今よりずっと平和になるのだがなぁ。

                シェア
                親コメント
        • >とりあえず一名、
          >具体的に書いた結果危機感だけを抱いて問題点や対処法を
          >思いつかない人がでてきたわけですね。

          問題点を指摘されたとき、それへの対策を考えることをせず、
          指摘した相手を疎む方向へ行動する人っていますよね。
          で、そういう人って結構いるような気がするのですけど、
          どうしたら、穏やかに理解してもらえるものですかね。
    • 博打のようなソフトだかね。
      JScriptは切れますよ、切るとメタメタでしょう、
      だから入れれば…危ないと。選択と言うが選択の余地がないように思えますがね。
      他だと表示に問題があっても被害を考えると軽微ですからね。

      一般常識としてユーザは
  • やっぱり HTML 投稿で「<」(\x3c) をきちんと使えた方がありがたいですよねぇ...。

    # 今回のタレコミ者は「http」と書いている辺りから
    # 察するにわざとやってるんでしょうけれど。

    • このままでもいいのでは?
      この手のタグってコピペで使えるよりは使えない方がいいと思いますけど

      JScriptの「 showModalDialog() 」メソッドにあり
      "http://example.com/flash.swf?"<script> ~ </script>

      強調する方が効果的では?

      #引用でグレーの色指定で
      • この手のタグってコピペで使えるよりは使えない方がいいと思いますけど
        危険なタグが使えなくしてあるのはセキュリティ上必要なことです。そういう話ではなく、「<」という文字を書くために正しく「<」と記入しても、ここのslashcodeではうまく投稿できない件のことでしょう。

        これは、プレビュー画面で「&」のescapeが正しく行われていないために起こるようです (クロスサイトスクリプティングは起きないようになっているものの)。 TEXTAREA内に「<」と記入して「プレビュー」ボタンを押すと、次の画面のTEXTAREA内では「<」に置き換わってしまうのを見ることができます(本来はソース上で「<」に変換されて、画面の入力欄には「<」と現れないといけない)。加えて、コメントの表示部分では(フィルタリングの前に不必要なunescapeが行われている?のか) 「<」と記入しても「<」が消えてしまいます。 なんだかぐちゃぐちゃになっていて安全を保ちつつ直すのが困難なのかもしれません。

        シェア
        親コメント
        • そういう話ではなく、「<」という文字を書くために正しく「<」と記入しても、ここのslashcodeではうまく投稿できない件のことでしょう。
          仰せの通りです。 今回のタレコミについては、おそらく copy + paste でそのまま通用しないようにという配慮ではないかな、と思ったのであのような文章にしました。

          傍から見る分には slashcode(-J?) の消毒部分のコードがやたら恐ろしいことになっているのではないかと思える (これまで方々で言われていてなお改善できないという傍証からして) ので、あまり強く編集者諸氏にお願いする気はありませんが。

          シェア
          親コメント

  • すぐにパッチが出るよ。 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年01月19日 15時37分 (#238509)
    サイトにアクセスする度に
     「/!\ 確認してください」 というダイアログが表示されるだろう

    ところが、これでは確認しようがないじゃないかという強い抗議があり
     「接続しますか?」 というやや控えめな文面に変更されるだろう

    しかし改善されたと思えたが依然と変わらないと苦情が殺到し
     「接続しますか?」 と表示された後に
     「本当に接続しますか?」
     「本当に接続してもいい Yes/No?」等フレンドリーなダイアログが表示されるだろう。
  • まあ普段からscriptやActiveXはoffにしていたりするのですけれど、onにする場合もあります。んで、念のためという意味で。Proxomitronのdefault.cfgに入っていたものをちょっと書き換えただけなんですけど、以下のようなフィルタは有効でしょうか? 無効だとすれば、それはどういう状況下でしょうか?

    Name = "Stop showModalDialog()"
    Active = TRUE
    Limit = 256
    Match = "<start>"
    Replace = "<!--//--><script>"
                        "function showModalDialog(){return true;}"
                        "</script>\r\n"

    The Proxomitron - Universal Web Filter
    http://www.proxomitron.org/
    Proxomitron-J
    http://www.pluto.dti.ne.jp/~tengu/proxomitron/

  • なんでそんなに目くじら立てのだろう (スコア:0)

    by Anonymous Coward on 2003年01月19日 12時05分 (#238427)
    オフトピだけどいつもの事
    毎週か遅くても毎月必ある定期的なネタでしょうに

    #ネットの弱さは信頼性が薄い事にある。
    #現状のIEが存在する限り使っても使わなくても信頼性はない
    #一番損をしているのはネットを利用するものすべて
    #100%とは言わないだが出るなら1年に1回程度にしてくれ
    #できないなら消えてくれ!それが皆の気持ちだろう。
    #ブラウザのシェアは時代がきっときめてくる。
    #他だとまともに表示しない理由のみでそれがなければ何でもいい筈
    #デフレが続き機能限定の表計算専用パソコンが売れるようになれば変わるだろう。
    #一度風が吹いてしまえばもう元に戻る事はないのだから

  • うーん (スコア:0)

    by Anonymous Coward on 2003年01月19日 14時30分 (#238476)
    信頼するサイトだけJscriptやらJava・ActiveXをオンにすればよろしいかと。
    普通のサイトは、プラグインすらオフで。

    画像のHTML表示については「滑らかに画像を表示する」のチェックを外せば良いのでは?
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson