Netscape/Mozillaに偽のURL表示が可能な脆弱性 48
ストーリー by Oliver
その為のSSL証明書ではあるが 部門より
その為のSSL証明書ではあるが 部門より
jbeef曰く、"5月13日にBUGTRAQに流れた記事によると、Netscape 7.02にセキュリティホールがあり、任意の内容のHTMLを表示させた状態で、そのウィンドウのアドレスバーのURLを任意のものに差し替えることができてしまうという。Mozilla 1.3.1でもこの現象が再現することを確認した。
考えられる攻撃のシナリオは次のとおり。悪意あるサイトや悪意あるHTMLメールのリンクをたどって、銀行などのログイン画面が現れたとき、アドレスバーを目視して、それが本物サイトのURLになっていると確認したつもりでも、実際に表示されているHTMLが偽物となっていて、そうとは知らず口座番号とパスワードを入力すると別のサイトに送信されて盗まれる。あるいは、リンクをたどって表示されたニュース記事が、たしかにアドレスバーは新聞社のものになっているのに、偽物で、嘘のニュースに騙される。
欠陥の原因は次のとおり。javascript: URLにより任意の文字列 X をウィンドウ w に表示させた後、w.location.assign=... を実行することで目的のサイト(本物のサイト)を表示させ、しばらく後に w.history.back() でページを戻らせると、アドレスバーのURLはそのまま、前の文字列 X (偽の画面)が表示されてしまう。
発見者がベンダーに報告したかどうかは不明。回避方法はJavaScriptをオフにすること。あるいは、見ている画面が本物か疑わしいときは、右クリックで「ページ情報」を選び、URL欄を確認するれば、偽の場合には「javascript:」で始まるURLとなっている。また、アドレスバーでエンターキーを押せば、本物の画面に切り替わるようだ。"
その為のSSL証明書? (スコア:5, 参考になる)
まず、今回のバグを突いて偽の https:// サイトを表示した場合、錠前アイコンは施錠された状態となるようです。アイコンをクリックして「ページ情報」を出すと、「接続が暗号化されました」「認証局VeriSign Inc.によって確認されました」などと表示されます。しかし、「Webサイト (null) は……」と異常が見られ、証明書のSubject等も表示されない異常な表示となります。
次に、サイトの真正性を確認するために本来、証明書を目視確認しておくべきかという点についてですが、基本的に、サーバ証明書が正しいものか(信頼した認証局から発行されているか)は機械的に検証されるので、目視確認は不要です。目視確認をして、そのときは本物だったとしても、次のアクセスも同じ証明書が使われている保証にはならないので、結局目視確認は役に立たないのではないかと思います。また、機械検証で正規のものと判断される証明書(信頼した認証局から発行されたもの)の持ち主が、期待している本物とは異なる悪意あるサイト管理者である場合が、どういう場合かというと、
- 認証局がミスをして、ドメイン管理者以外にそのドメイン用の証明書を渡してしまって、DNSスプーフィング攻撃が行われている場合。
- 本物サイトのミスで、本物の証明書が盗み出され、DNSスプーフィング攻撃が行われている場合。
- 本物サイトとは異なる似通ったドメインのサイト上に、偽サイトが作られていて、正規に取得した証明書が使われている場合。
が考えられますが、1つ目と2つ目は、サーバ証明書を目視確認しても偽だと見破れません。3つ目のケースにおいて、サーバ証明書の目視確認に意義がありますが、これは、ドメイン所有者が誰であるかを、whois で調べるのでなしに、サーバ証明書で確認するというだけのことであり、日ごろから本物だと知っているドメインであれば、サーバ証明書を目視確認する必要はないのではないかと思います。うーん、微妙に論点がズレていませんか? (スコア:3, 参考になる)
> おそらくこういうことを言いたいのではないかと思います。
SSLが正しく機能していれば、
今回のブラウザの不具合を使った攻撃は事実上成り立たない、
ということで、この部門名になったのでは無いでしょうか?
SSLが正しく機能しない場合の例がいくつか挙げられていますが
SSLの証明書をどれだけ信用するかと言うような問題は
ここでは考えず、SSLが正しく機能している場合を想定すると、
1) フォームの内容を送信するときに、
データの送り先のwebサーバのSSLの証明書が確認されて
2) 実は別のサーバに飛ばされていたことに気が付く
となるわけで、
SSLが機能していれば危険は回避できるように思います。
Re:うーん、微妙に論点がズレていませんか? (スコア:1)
仕掛けられた送信先が正規のサーバ証明書を使った任意のhttps:// のサイトであれば、警告は出ません。送信した後で、送信先が予期したところと違うとわかっても(わかりにくくすることも可能)、後の祭りです。(の場合があります)
また、
SSLが正しく機能しない場合の例を挙げていません。というか、「SSLが正しく機能しない場合」の意味がわかりません。Re:うーん、微妙に論点がズレていませんか? (スコア:0)
正規のサーバ証明書で、
ほかのドメインの証明をすることは出来ないですよ。
そもそも、この点が理解されていないとしか思えないような
コメントなのですが。しかもスコア5も付いているし。
Re:うーん、微妙に論点がズレていませんか? (スコア:1)
今から思うと (スコア:1)
クすると自動的に情報が表示されるとかいう仕組みを、安易に
ネットワークへ拡張したことが大間違いだったのではないでしょ
うか。もっと慎重に仕様を決めることができれば良かったので
しょうけど。
Re:今から思うと (スコア:2, すばらしい洞察)
これはHTMLとWWWの基礎ですが、それ自体には何も問題ないと思いますが。
ブラウザに何の個人情報も入力せず、ブラウジングしてるだけなら、ユーザーには何の被害も及ばないはず。
# 「時間の浪費」というのはユーザー自身の責任。
今回のセキュリティホールのように「ユーザーの意図とは異なる場所に情報が送られる」のは、「ユーザーの個人情報をブラウザに入力する」行為と組み合わさった時に初めて問題になると思います。
危険性は認めます。
でも、環境次第、使い方次第、ブラウザの実装次第ですね。
例えば管理者/ユーザーの区別のないWin9XのIEでActiveXを使えば、かなり危険。
一方、MacOS9、NN4.xでjavaを使っても、大したことは出来ない。
非常におおざっぱな例ですが。
Re:今から思うと (スコア:1)
ブラウザに入力しなくても、やりようによってはコンピュータ内のデータ(ブラウザとは関係の無いファイル)も持って行くことが可能ですよね。
このへんまでアクセスできてしまう作りもたいがいどうかな、と思います。
Windows Updateも、結構怖い実装ですよね。
Re:今から思うと (スコア:1)
うーーん (スコア:1, 参考になる)
常用をどれにするか選んでいるのですが、やはり同じ問題があるのでしょうか?
そもそもIEといえばOSはWindowsですから、問題回避のしようがないはずですが、Mozillaといえば少なくとも違うOSの組み合わせもあり『OSを変えてみる』なんていう究極の対策もありそうで、、。
ま、今回の問題はそういう問題ではなさそうですが、、。
つい先頃にもSafariにセキュリティ上の問題が報告されたり、IEなんかいつもいつも報告されてます。Webを使わないわけにも行かないし、cookieやJavaなど『問題あり』と言われてもONにしておかないと利用できないサイトもありますし、、。
最終的自衛策はやはり『やばそうなサイトには行かない』しかないのでしょうか?それは対策にはならない?
#技術的話題にはついて行けそうもないのでAC
Re:うーーん (スコア:0)
# 同じく全然分かってないので AC
Re:うーーん (スコア:0)
それが一番いいんじゃないかと。機械での防御も必要だとは思うけど、最終的に身を守れるかどうかは個人の心がけ次第だと思いますよ。
普通の人は完全防護服を着てわざわざSARSが蔓延してるところへ行くよりは、単にそういうところには行かないってのを選ぶでしょ。
Re:うーーん (スコア:0)
セキュリティーにおいて大切な事としては理解できますが、それだけで身を守れるとは思い難いですけどね。
例えば、XSS 脆弱性のあるサイトやクラックされたサイトに、予期せぬコードを埋めこまれているかもしれませ
既に作業中です (スコア:1)
例によって私を含めて一見さんには見えません。
JavaScript禁止! (スコア:0, 荒らし)
百害あって利用者にメリットは何も無い。
まるで人を不幸にするための技術だ。
JavaScript等は使いたい時、使いたい場所で使いたい (スコア:2, 興味深い)
いや、便利な機能を禁止すると別の人がまた便利な機能を入れちゃうから全面禁止はだめ。
現在の問題はまだ使いたい時に使うと言う指定が面倒なのがいけないのさ。
例えば、信頼できると思ったサイト(の特定ディレクトリ以下)ならボタン一個でOKにできるとかにすれば良いのだ。(当然でフォルトはNGだ)
今も有る程度はユーザーでコントロールできるけど、ダイアログをわざわざ出すなどの複数の手順が必要で使いにくい事このうえない。
PS.
昔 applescript で自動コントロールできるかと調査したけど、その時は簡単にはできない事が分かってがっかり。今もちょっと調べたけど、簡単にかえる方法って提供されていないよね。(それなりの暇が有れば、ソースから構築すれは良いのだろうけど)
Re:JavaScript等は使いたい時、使いたい場所で使いた (スコア:3, 参考になる)
mozillaでPreferences Toolbar 2 [xulplanet.com]を入れておくことでチェックボックス1つでON/OFFを 必要に応じて使ってます
全く気にせずにすべてON状態で進めれば安心ですがそうでもないページが多い世の中ですからね。
ただ、チェックを入れてリロードしないと働かないから、ボタンひとつでON/OFFとは行きませんです。
(読み込んだ時点ではJS=OFF状態だからね、ONで読み込み途中でON/OFFは効きます)[意味無いけど]
Re:JavaScript等は使いたい時、使いたい場所で使いた (スコア:1)
Kill Flashというボタンが増えていた
このボタンいいわ
Re:JavaScript等は使いたい時、使いたい場所で使いた (スコア:1)
効果的な挙動ですね。
チェックを連続して行うと効果が逆転してしまう
ことがありますが、慣れれば苦ではありませんわ。
作者と教えてくださったRX-178氏に感謝。
言語能力低能でfeedbackできないのでID
---------- Kazuu T
Re:JavaScript等は使いたい時、使いたい場所で使いた (スコア:2, 参考になる)
特定ディレクトリ以下でONになるのではなく、ボタンをONにしたらONになったまんまですが、ON/OFFの切替が簡単なので、次善の策ぐらいにはなるかと...
Bookmarkする場合でもONで開く/OFFで開くの設定ができるので、良く行くJavaScript必須のページはONで登録しておけばOK。
# 私が使ってるからMIDBrowserを例に挙げただけで、他にも同様の機能があるものもあるようです。
Re:JavaScript禁止! (スコア:1, おもしろおかしい)
それなら、ActiveXもFlashもPluginも全て禁止だな。
いっそのことブラウザもHTMLもhttpも禁止…
Re:JavaScript禁止! (スコア:0)
Re:JavaScript禁止! (スコア:0)
例えばページを開いたときに別のページへジャンプさせたり、
リンクをクリックすると別窓を開くなんてのは、
JavaScriptなんか使わなくても簡単にできます。
もしJavaScriptを有効にしないと使えないWebサイトが改竄され、
不正なJavaScriptによって被害が発生した場合は、
そういうWebサイトを作った企業に責任を追及できることにしたらいいと思いますね。
どうしてもJavaScriptを使いたい場合は、トップページに
「当社のWebサイトはJavaScriptを有効にしないとアクセスできません。
JavaScriptは安全性が確認されて
Re:JavaScript禁止! (スコア:1, 参考になる)
必要なのはJavaScriptの使用を禁止することではなくて
JavaScriptなしでも動くようにするということだと思うんだが。
Flashは?Javaは?新しい技術が出るたびに法律で禁止かよ。(藁
どうしよう (スコア:0)
Mozilla 1.2linux版です。
っていうか (スコア:1)
ttp://liudieyuinchina.vip.sina.com/NSNVBackFake/NSNVBackFake-MyPage.htm
うまく表示できた人っているの?
手元の Mozilla 1.3.1 for Windows では再現できませ (スコア:1)
Netscape 7.02 for Windows では再現できました (スコア:1)
Re:っていうか (スコア:1)
Mozilla Firebird 0.6 → 再現せず。
Re:っていうか (スコア:1)
As it goes, so it is.
Re:どうしよう (スコア:0)
Mozillaでの再現性 (スコア:1)
function xxx() {
w.location.assign("http://www.google.co.jp/");
setTimeout("yyy()", 500);
}
function yyy() {
w.history.back();
}
w=window.open("javascript:'test'");
setTimeout("xxx()");
Netscape 7.02 で再現、Mozilla 1.3.1 で再現せず、で (スコア:1)
他の回避策 (スコア:0)
Re:他の回避策 (スコア:0)
「みかちゃんのホームページへようこそ!!」なんてみたことあるでしょ?
#みかちゃんなんて知らないので、AC
Re:他の回避策 (スコア:0)
一応いっておくと、その JavaScript、Mozilla は設定で簡単に (GUI から) 切れる。
Change status bar text を Allow しなければいいだけでしょ?
Re:他の回避策 (スコア:0)
#ネタなのでAC
Re:他の回避策 (スコア:0)
# もちろんネタなのでAC
Re:やっぱりOperaが最高ですね! (スコア:0)
でもお粗末なものほど見つかりにくかったりして、こういうのって嘘みたいなんなんですかね。大きな嘘ほどバレにくい、みたいな。
Re:やっぱりOperaが最高ですね! (スコア:0)
ってゆーことでいいんじゃねーの?
Re:やっぱりOperaが最高ですね! (スコア:0)
酷く粘着なんですが…
Re:やっぱりOperaが最高ですね! (スコア:0)
ビバ!「フリーウェア」なんだよきっと。
#捨てゼリフなのでAC
Re:やっぱりOperaが最高ですね! (スコア:0)
Re:やっぱりOperaが最高ですね! (スコア:0)
Re:やっぱりOperaが最高ですね! (スコア:0)
と、釣られてみるテスト。