パスワードを忘れた? アカウント作成
5720 story

Netscape/Mozillaに偽のURL表示が可能な脆弱性 48

ストーリー by Oliver
その為のSSL証明書ではあるが 部門より

jbeef曰く、"5月13日にBUGTRAQに流れた記事によると、Netscape 7.02にセキュリティホールがあり、任意の内容のHTMLを表示させた状態で、そのウィンドウのアドレスバーのURLを任意のものに差し替えることができてしまうという。Mozilla 1.3.1でもこの現象が再現することを確認した。
考えられる攻撃のシナリオは次のとおり。悪意あるサイトや悪意あるHTMLメールのリンクをたどって、銀行などのログイン画面が現れたとき、アドレスバーを目視して、それが本物サイトのURLになっていると確認したつもりでも、実際に表示されているHTMLが偽物となっていて、そうとは知らず口座番号とパスワードを入力すると別のサイトに送信されて盗まれる。あるいは、リンクをたどって表示されたニュース記事が、たしかにアドレスバーは新聞社のものになっているのに、偽物で、嘘のニュースに騙される。
欠陥の原因は次のとおり。javascript: URLにより任意の文字列 X をウィンドウ w に表示させた後、w.location.assign=... を実行することで目的のサイト(本物のサイト)を表示させ、しばらく後に w.history.back() でページを戻らせると、アドレスバーのURLはそのまま、前の文字列 X (偽の画面)が表示されてしまう。
発見者がベンダーに報告したかどうかは不明。回避方法はJavaScriptをオフにすること。あるいは、見ている画面が本物か疑わしいときは、右クリックで「ページ情報」を選び、URL欄を確認するれば、偽の場合には「javascript:」で始まるURLとなっている。また、アドレスバーでエンターキーを押せば、本物の画面に切り替わるようだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jbeef (1278) on 2003年05月19日 1時04分 (#318616) 日記
    部門名の「その為のSSL証明書」とは、おそらくこういうことを言いたいのではないかと思います。つまり、銀行など重要なサイトでパスワードを入れるときは、もともと証明書を目視確認するはずだから、このバグがあっても大丈夫のはずではないかと。これには述べておきたいことが2点あります。

    まず、今回のバグを突いて偽の https:// サイトを表示した場合、錠前アイコンは施錠された状態となるようです。アイコンをクリックして「ページ情報」を出すと、「接続が暗号化されました」「認証局VeriSign Inc.によって確認されました」などと表示されます。しかし、「Webサイト (null) は……」と異常が見られ、証明書のSubject等も表示されない異常な表示となります。

    次に、サイトの真正性を確認するために本来、証明書を目視確認しておくべきかという点についてですが、基本的に、サーバ証明書が正しいものか(信頼した認証局から発行されているか)は機械的に検証されるので、目視確認は不要です。目視確認をして、そのときは本物だったとしても、次のアクセスも同じ証明書が使われている保証にはならないので、結局目視確認は役に立たないのではないかと思います。また、機械検証で正規のものと判断される証明書(信頼した認証局から発行されたもの)の持ち主が、期待している本物とは異なる悪意あるサイト管理者である場合が、どういう場合かというと、

    • 認証局がミスをして、ドメイン管理者以外にそのドメイン用の証明書を渡してしまって、DNSスプーフィング攻撃が行われている場合。
    • 本物サイトのミスで、本物の証明書が盗み出され、DNSスプーフィング攻撃が行われている場合。
    • 本物サイトとは異なる似通ったドメインのサイト上に、偽サイトが作られていて、正規に取得した証明書が使われている場合。
    が考えられますが、1つ目と2つ目は、サーバ証明書を目視確認しても偽だと見破れません。3つ目のケースにおいて、サーバ証明書の目視確認に意義がありますが、これは、ドメイン所有者が誰であるかを、whois で調べるのでなしに、サーバ証明書で確認するというだけのことであり、日ごろから本物だと知っているドメインであれば、サーバ証明書を目視確認する必要はないのではないかと思います。
    • > 部門名の「その為のSSL証明書」とは、
      > おそらくこういうことを言いたいのではないかと思います。

      SSLが正しく機能していれば、
      今回のブラウザの不具合を使った攻撃は事実上成り立たない、
      ということで、この部門名になったのでは無いでしょうか?

      SSLが正しく機能しない場合の例がいくつか挙げられていますが
      SSLの証明書をどれだけ信用するかと言うような問題は
      ここでは考えず、SSLが正しく機能している場合を想定すると、

      1) フォームの内容を送信するときに、
            データの送り先のwebサーバのSSLの証明書が確認されて
      2) 実は別のサーバに飛ばされていたことに気が付く

      となるわけで、
      SSLが機能していれば危険は回避できるように思います。
      親コメント
      • となるわけで、
        SSLが機能していれば危険は回避できるように思います。
        おっしゃることがよくわかりません。
        仕掛けられた送信先が正規のサーバ証明書を使った任意のhttps:// のサイトであれば、警告は出ません。送信した後で、送信先が予期したところと違うとわかっても(わかりにくくすることも可能)、後の祭りです。(の場合があります)

        また、

        SSLが正しく機能しない場合の例がいくつか挙げられていますが
        SSLが正しく機能しない場合の例を挙げていません。というか、「SSLが正しく機能しない場合」の意味がわかりません。
        親コメント
        • >仕掛けられた送信先が正規のサーバ証明書を使った任意の>https:// のサイトであれば、警告は出ません。

          正規のサーバ証明書で、
          ほかのドメインの証明をすることは出来ないですよ。

          そもそも、この点が理解されていないとしか思えないような
          コメントなのですが。しかもスコア5も付いているし。
          • 仕掛けられた送信先が正規のサーバ証明書を使った任意のhttps:// のサイトであれば、警告は出ません。
            正規のサーバ証明書で、 ほかのドメインの証明をすることは出来ないですよ。
            他のドメインが、そのドメイン用の正規のサーバ証明書を使っている話をしているのですが。わかりませんかね。
            そもそも、この点が理解されていないとしか思えないような コメントなのですが。しかもスコア5も付いているし。
            なるほど、あなたは天才なのですね。(スラドもそろそろ終わりなのかなあ。)
            親コメント
  • ファイルをクリックするとツールが起動するとか、URLをクリッ
    クすると自動的に情報が表示されるとかいう仕組みを、安易に
    ネットワークへ拡張したことが大間違いだったのではないでしょ
    うか。もっと慎重に仕様を決めることができれば良かったので
    しょうけど。
    • Re:今から思うと (スコア:2, すばらしい洞察)

      by shiraga (14233) on 2003年05月19日 2時48分 (#318650)
      ブラウザの実装の問題をHTML&WWWの問題としちゃうのは、話題を拡げすぎだと思います。
      URLをクリックすると自動的に情報が表示されるとかいう仕組み
      これはHTMLとWWWの基礎ですが、それ自体には何も問題ないと思いますが。
      ブラウザに何の個人情報も入力せず、ブラウジングしてるだけなら、ユーザーには何の被害も及ばないはず。

      # 「時間の浪費」というのはユーザー自身の責任。

      今回のセキュリティホールのように「ユーザーの意図とは異なる場所に情報が送られる」のは、「ユーザーの個人情報をブラウザに入力する」行為と組み合わさった時に初めて問題になると思います。

      ファイルをクリックするとツールが起動するとか
      危険性は認めます。
      でも、環境次第、使い方次第、ブラウザの実装次第ですね。

      例えば管理者/ユーザーの区別のないWin9XのIEでActiveXを使えば、かなり危険。
      一方、MacOS9、NN4.xでjavaを使っても、大したことは出来ない。
      非常におおざっぱな例ですが。
      親コメント
      • >「ユーザーの個人情報をブラウザに入力する」行為と組み合わさった時に初めて問題になると思います。
        ブラウザに入力しなくても、やりようによってはコンピュータ内のデータ(ブラウザとは関係の無いファイル)も持って行くことが可能ですよね。
        このへんまでアクセスできてしまう作りもたいがいどうかな、と思います。
        Windows Updateも、結構怖い実装ですよね。
        親コメント
    • by Ying (4319) on 2003年05月19日 0時39分 (#318604)
      親コメント
  • うーーん (スコア:1, 参考になる)

    by Anonymous Coward on 2003年05月19日 8時28分 (#318708)
    現在、MacOS X上でMozilla関連のブラウザ3種類使っています。
    常用をどれにするか選んでいるのですが、やはり同じ問題があるのでしょうか?

    そもそもIEといえばOSはWindowsですから、問題回避のしようがないはずですが、Mozillaといえば少なくとも違うOSの組み合わせもあり『OSを変えてみる』なんていう究極の対策もありそうで、、。
    ま、今回の問題はそういう問題ではなさそうですが、、。

    つい先頃にもSafariにセキュリティ上の問題が報告されたり、IEなんかいつもいつも報告されてます。Webを使わないわけにも行かないし、cookieやJavaなど『問題あり』と言われてもONにしておかないと利用できないサイトもありますし、、。

    最終的自衛策はやはり『やばそうなサイトには行かない』しかないのでしょうか?それは対策にはならない?

    #技術的話題にはついて行けそうもないのでAC
    • by Anonymous Coward
      IE 使い(たぶん正しくはコンポーネントを利用したタブブラウザ使い)の方々にはたぶん自衛策がいろいろあるんだと思います。そういうのを探さないとダメなんでしょうな。

      # 同じく全然分かってないので AC
    • by Anonymous Coward
      > 最終的自衛策はやはり『やばそうなサイトには行かない』しかないのでしょうか?
      それが一番いいんじゃないかと。機械での防御も必要だとは思うけど、最終的に身を守れるかどうかは個人の心がけ次第だと思いますよ。

      普通の人は完全防護服を着てわざわざSARSが蔓延してるところへ行くよりは、単にそういうところには行かないってのを選ぶでしょ。
      • by Anonymous Coward

        それが一番いいんじゃないかと。機械での防御も必要だとは思うけど、最終的に身を守れるかどうかは個人の心がけ次第だと思いますよ。

        セキュリティーにおいて大切な事としては理解できますが、それだけで身を守れるとは思い難いですけどね。

        例えば、XSS 脆弱性のあるサイトやクラックされたサイトに、予期せぬコードを埋めこまれているかもしれませ

  • これは Bug 205989 です。
    例によって私を含めて一見さんには見えません。
  • by Anonymous Coward on 2003年05月19日 0時17分 (#318589)
    JavaScript の使用を法律で全面禁止にしろや。
    百害あって利用者にメリットは何も無い。
    まるで人を不幸にするための技術だ。
    • by Anonymous Coward on 2003年05月19日 1時39分 (#318629)
      >JavaScript の使用を法律で全面禁止にしろや。

      いや、便利な機能を禁止すると別の人がまた便利な機能を入れちゃうから全面禁止はだめ。
      現在の問題はまだ使いたい時に使うと言う指定が面倒なのがいけないのさ。

      例えば、信頼できると思ったサイト(の特定ディレクトリ以下)ならボタン一個でOKにできるとかにすれば良いのだ。(当然でフォルトはNGだ)

      今も有る程度はユーザーでコントロールできるけど、ダイアログをわざわざ出すなどの複数の手順が必要で使いにくい事このうえない。

      PS.
      昔 applescript で自動コントロールできるかと調査したけど、その時は簡単にはできない事が分かってがっかり。今もちょっと調べたけど、簡単にかえる方法って提供されていないよね。(それなりの暇が有れば、ソースから構築すれは良いのだろうけど)
      親コメント
      • やはりJavaScriptがあると多少便利なのはたしかだけど通常OFFにしておくのは基本でしょう。
        mozillaでPreferences Toolbar 2 [xulplanet.com]を入れておくことでチェックボックス1つでON/OFFを 必要に応じて使ってます
        全く気にせずにすべてON状態で進めれば安心ですがそうでもないページが多い世の中ですからね。

        ただ、チェックを入れてリロードしないと働かないから、ボタンひとつでON/OFFとは行きませんです。
        (読み込んだ時点ではJS=OFF状態だからね、ONで読み込み途中でON/OFFは効きます)[意味無いけど]
        親コメント
      • by Anonymous Coward on 2003年05月19日 2時08分 (#318635)
        例えば、信頼できると思ったサイト(の特定ディレクトリ以下)ならボタン一個でOKにできるとかにすれば良いのだ。(当然でフォルトはNGだ)
        たとえばMDIBrowser [nifty.com]とか使えばON/OFF操作はボタン一発でできます。
        特定ディレクトリ以下でONになるのではなく、ボタンをONにしたらONになったまんまですが、ON/OFFの切替が簡単なので、次善の策ぐらいにはなるかと...
        Bookmarkする場合でもONで開く/OFFで開くの設定ができるので、良く行くJavaScript必須のページはONで登録しておけばOK。

        # 私が使ってるからMIDBrowserを例に挙げただけで、他にも同様の機能があるものもあるようです。

        親コメント
    • Re:JavaScript禁止! (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2003年05月19日 0時27分 (#318596)
      まぁ、気持ちが解らなくはない。
      それなら、ActiveXもFlashもPluginも全て禁止だな。

      いっそのことブラウザもHTMLもhttpも禁止…
      親コメント
    • by Anonymous Coward
      JavaScriptの 濫用を禁止するのはいいと思います。

      例えばページを開いたときに別のページへジャンプさせたり、
      リンクをクリックすると別窓を開くなんてのは、
      JavaScriptなんか使わなくても簡単にできます。

      もしJavaScriptを有効にしないと使えないWebサイトが改竄され、
      不正なJavaScriptによって被害が発生した場合は、
      そういうWebサイトを作った企業に責任を追及できることにしたらいいと思いますね。

      どうしてもJavaScriptを使いたい場合は、トップページに
      「当社のWebサイトはJavaScriptを有効にしないとアクセスできません。
      JavaScriptは安全性が確認されて
  • by Anonymous Coward on 2003年05月19日 12時29分 (#318811)
    JavaScript Onにしてるのに別のURLが表示されません。
    Mozilla 1.2linux版です。
  • by Anonymous Coward on 2003年05月19日 12時57分 (#318831)
    リンクをクリックする前にステータスバーに出るリンク先を目視チェックするってのはダメ?
    • by Anonymous Coward
      その程度なら、既に十分偽装可能です。
      「みかちゃんのホームページへようこそ!!」なんてみたことあるでしょ?

      #みかちゃんなんて知らないので、AC
      • by Anonymous Coward
        > その程度なら、既に十分偽装可能です。

        一応いっておくと、その JavaScript、Mozilla は設定で簡単に (GUI から) 切れる。
        Change status bar text を Allow しなければいいだけでしょ?
    • by Anonymous Coward
      リンクをクリックする前にソースをチェックするのはダメ?

      #ネタなのでAC
      • by Anonymous Coward
        リンクをクリックした後で後悔するのはダメ?

        # もちろんネタなのでAC

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...