パスワードを忘れた? アカウント作成
9419 story

Netcraftから「フィッシング対抗ツールバー」 26

ストーリー by GetSet
騙されないために、その1 部門より

slashdot.org 曰く、 "本家記事より。Netcraftが、訪問中のサイトに関する詳細情報を確認できるAnti-Phishing Toolbarをリリースした。チュートリアルに詳細が載っているが、XSS(クロスサイトスクリプティング)や怪しげなURLをトラップすることもでき、さらに、フィッシングサイトを Netcraft に報告し(Netcraftが確認し)、他の人の被害を防ぐこともできる。いまのところ、IE版しかないが Firefox版も開発中とのこと。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「フィッシング詐欺って何?」とかいう初心者だと、これを入れても結局使えないって気もするけど、 /. 読者のレベルなら、少なくとも判断材料のひとつになるんじゃないかな。「ブラックリストに載っているサイト」だって表示されれば。

    FireFox なら、アドレスに "about:config" を入力して、以下の値を "true"にするのもフィッシング詐欺対策に良さそうですね。 (本家より)

    disable_window_open_feature.location
    disable_window_open_feature.status
    disable_window_open_feature.titlebar
    disable_window_status_change

    根本的には、フィッシング詐欺グループの餌食になりやすいサイトのデザインを改善する、というのを全てのオンラインバンクやオンラインショッピングサイトで実施してもらいたいけれど・・・この@ITで紹介されているような企業が対策すべき内容 [atmarkit.co.jp]があまねく徹底されるのは、当面先かな。当面は自衛しないと。

    それにしても、「なんたらツールバー」の乱立していることよ・・・

    • by Anonymous Coward on 2004年12月31日 13時27分 (#672692)
      フィッシング詐欺防止ツールバーの中には現在アクセスしているドメインを表示するものがあるのですが、先日、新たに発見されたXSS脆弱性サンプルコードを実行したところpaypal.comと表示されまして、見事に釣られてました(´・ω・`)

      ヘタに不十分なツールを使うと安心しちゃう分、かえって危険な気もします。
      親コメント
      • 具体的な内容がゼロなんですけど・・その不十分なフィッシング詐欺防止ツールバーとは、 SpoofStick [allabout.co.jp]ですか、 ScamBlocker」 [itmedia.co.jp] ですか、それとも別なの?

        XSS脆弱性サンプルコードとは具体的に何?

        そのXSS脆弱性サンプルコードで Netcraft のツールバーも騙されたの?

        なんだか、議論が成立すらしていないって感じですな。

        確かに、 asahi.comツールバー [hatena.ne.jp]みたいに、役に立たないどころか入れるとかえってセキュリティーが下がるようなツールバーさえあるのも事実だけど、役に立たないものもあるからといって、今度リリースされた Netcraft のツールバーも含めて全てがダメだという事を結論する証拠にはならないでしょう。そのXSS脆弱性サンプルコードで Netcraft のツールバーで paypal.com と表示されるかどうかで有用性が決まると思うけど。

        親コメント
        • by stwo (9482) on 2004年12月31日 14時25分 (#672710)
          >XSS脆弱性サンプルコードとは具体的に何?
          ブラウザ側(IE)のXSS脆弱性を示すTESTページです。

          ●SecuniaによるIEのXSS脆弱性を示すデモ
          http://secunia.com/internet_explorer_cross-site_scripting_vulnerability_test/

          >そのXSS脆弱性サンプルコードで Netcraft のツールバーも騙されたの?

          あくまで一般論ですが、この手の拡張されたツールバーでブラウザ自身がもつXSS脆弱性をブロックすることをあてにしないほうが良いでしょう。特定のサイトが持つサーバサイドのXSS脆弱性とは切り分けて評価すべきかと。

          なお、上記Secuniaのデモでは、正しくPaypalにアクセスしている状況でありながら、表示されたページのコンテンツ内容だけをIEのXSS脆弱性によって差し替えています。このような状況で機械的にXSS脆弱性をついたフィッシングであることを検知することははなはだ難しいと思われます。

          こちらの意見も。
          http://d.hatena.ne.jp/hoshikuzu/20041217#20041217XSSDEC
          http://d.hatena.ne.jp/hoshikuzu/20041219#20041219XSSDEC
          --
          | 慈愛こそ慈愛
          親コメント
          • > ●SecuniaによるIEのXSS脆弱性を示すデモ

            情報ありがとうございます。W2KSP4+MS04-044 の FireFox 1.0 で、サンプルコードを試してみました。
            → まったく動作しませんでした。「あれ」と思って英語を見ると、「なんだ、こりゃ IE の脆弱性じゃないか。FireFox じゃ動くわけないか」と納得。 (^^;

            ええと、DHTML Edit ActiveX control の問題ねぇ。 FireFox は ActiveX に対応していない [nikkeibp.co.jp]のだから関係ないやっていうか、そもそも脆弱性が無いのだから、嘘の URL なんか最初から表示されない。ツールバーなど無くても、です。

            > このような状況で機械的にXSS脆弱性をついたフィッシングであることを
            > 検知することははなはだ難しいと思われます。

            ええ、未対策の脆弱性のあるブラウザを使って、なお安全を確保したいというのが無理な要求なんだと思います。元からフィッシングに悪用されやすい弱点のあるブラウザに、対策ツールバーを入れたから大丈夫、とはならないというのは同感です。

            それで、Netcraft のフィッシング対抗ツールバーですが、Firefox 版はこれからという事ですが・・・フィッシング詐欺にひっかかりやすい初心者は、Firefox 入れて使おうという人は少ないだろうし、逆に、安全に非常に注意を払って、もっぱら Firefox を使っているような人は、ツールバーなんか無くてもフィッシング詐欺にはひっかからないのでは、という意見も本家の方にありました。

            でも、どうしても IE でなければという場合は、対策ツールバーの結果を鵜呑みにはしないとしても、これで検出されて助かる場合もあると思います。アンチウイルスソフトだって、検出できない場合もありますが、それでも無いよりは、ある方が助かりますからね。( ここで「IE を安全に、なんて最初から無理じゃね~の」とか言ってしまうと、ぶちこわしですから) 結局、

            • ブラウザ自体が安全を考慮した物の方が好ましいか、関係しないか。
            • ブラウザに脆弱性があって、それが対策されていないというのは、フィッシング詐欺以前の問題ではないか。
            • 対策ツールバーは有益か否か
            というので、議論の前提も色々分かれますかね。
            親コメント
          • 済みません、結局のところNetcraftのツールパーでも検出できなかったのでしょうか?
            親コメント
  • なぜ「ツールバー」? (スコア:2, すばらしい洞察)

    by wabix (3594) on 2004年12月31日 14時02分 (#672703) ホームページ
    友人のブラウザはツールバーで画面上位をほとんど占めてる。
    けど、ちょっとおかしいんじゃないか?

    付加機能でメインの機能が見えにくくなるのってどうなんだろう?
    「ツールバー」みたいにウルサイ機能じゃなくて、
    もっと大人しい機能があってもいいんじゃないかと思う。

    HTTP Proxy とか、Windows 右下のタスクトレイ(であってるよね?)とか。
    あと、 Google Desktop Search も謙虚&静かで好きだ。

    # どれもツールバーと同じ機能を持たせるの難しいのはわかるが
    # これらの選択肢に制限されることなく、静かなアプリケーションがほしいってことを言いたい
    • Re:なぜ「ツールバー」? (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2004年12月31日 14時59分 (#672716)
      >友人のブラウザはツールバーで画面上位をほとんど占めてる。
      >けど、ちょっとおかしいんじゃないか?

      上のツールバーの縦か横いずれかの柄を合わせると消えます。
      親コメント
      • http://srad.jp/comments.pl?sid=231680&cid=672716
        | >友人のブラウザはツールバーで画面上位をほとんど占めてる。
        | >けど、ちょっとおかしいんじゃないか?
        |
        | 上のツールバーの縦か横いずれかの柄を合わせると消えます。

        縦とは限らず、画面に同じ行が2段あったらフィッシング警報
        ツールバーを消さずにウィンドウを閉じましょうw
        親コメント
    • こういうこと [itmedia.co.jp]があるからでは?(笑)
      親コメント
    • たとえばタスクトレイにしても、
      あまりにもたくさんあるとウルサクなるよね。

      でも、使う可能性のある機能は画面に出しておく
      (か、画面のメニューなどからたどれるようにしておく)
      必要がある、というのはGUIの本質にか

      • http://srad.jp/comments.pl?sid=231680&cid=672744
        | でも、使う可能性のある機能は画面に出しておく
        | (か、画面のメニューなどからたどれるようにしておく)
        | 必要がある、というのはGUIの本質にかかわることだから
        | (だって、目に見えないものはグラフィカルたりえないから)
        | GUIの宿命だと思うよ。あとはどのあたりでバランスを
        | とるか、というくらいの選択肢しかない。

        そうでしょうか。言いたいこともわかるのですが。
        GUI はもっと可能性のあるものだと信じたい。いや、信じてますw

        信号だって、青黄赤の3色でどれかが必ず光っているものもあれば、
        赤だけの警告灯(警告が必要ないときは無灯)もありますよね?

        今回のフィッシング対策ツールバーが
        どういった挙動をするのかわからないけれど、
        ツールバーである必要はないんじゃないかと。
        巷のツールがなんでもかんでもツールバーになりすぎなんじゃないかと。

        そんな私ですが、 Google Desktop Search がインデックスを作る
        ときに出てくる英文ダイアログを見ると、スパイウェアにやられたかな、
        とビビッたりもしてます。 GUI って奥が深いですね。

        # ご意見ありがとうございます
        親コメント
        • GUIの可能性、というのには私も興味があります。
          今のGUIと、私が知ってる範囲での昔のGUI、きれいな絵になって、
          透明化やアニメーション効果などが施されてはいるのですが、
          ボタンやメニュー、アイコンをクリックして操作するという
          基本操作やそれの発展形はあれども、「これはすごい」と思える革新的な変化には
          それほど出会ったことがないんですよ。

          あえて挙げてみるとすれば、マウスホイールができたこと、くらいでしょうか。

          …と思ってはいるけど今のところ革新的な操作方法も思いついてないし、
          思いついたとしてもそれを形にする能力も私にはないわけですが。
          --
          1を聞いて0を知れ!
          親コメント
          • 私は究極のインターフェースを備えたエディタはEmacsだと思ってます。
            Firefoxにしても可能な限りショートカットで操作してますし、マウスジェスチャー
            も全く使っていません。とろくて鬱陶しいので。

            つーか、その前にマウス自体つけてないけど。
            GUIの最大の欠陥はマウスのようなポインティングデバイスに依存している
            点だと思う今日この頃。
            • 確かにemacsは便利だと思いますけど、GUIなのかはよくわからないです。
              ポインティングデバイスはGUIの弱点でもあるけど利点でもあるので、
              emacsがキーボードを最大限に使いこなしているとすれば、
              究極のGUIはマウスも最大限に使いこなすことが必要なのかな、とも思います。

              # どちらかといえばvi使い。
              --
              1を聞いて0を知れ!
              親コメント
  • by patagon (1453) on 2004年12月31日 15時00分 (#672718) 日記
    slashdot.org (25424) のユーザ情報 [srad.jp]


    最新の日記は 2004年12月31日 14時12分 [ 日記のリスト ]

    自己紹介
    Slashdot本家記事を翻訳します。質より量で。わからない記事も適当に訳します。面白いものがあったら体裁を整えてタレコミます。
    slashdot.org は 2 個の記事を投稿しました。
    Netcraftから「フィッシング対抗ツールバー」 on 2004年12月31日 9時15分
    観光事業をPDAに託す日本 on 2004年12月31日 9時00分

    slashdot.org は 0 個のコメントを投稿しました。


    こんな使い方というか仕組みがあるんですね。
    お友達認定しようかな。

    ひょっとして(ロ)ボットじゃなくて、まじユーザー?
    • by Anonymous Coward on 2004年12月31日 16時43分 (#672746)
      ボットというのがよく分かりませんが、ウィンドウ2つ開いて本家からコピペしながら、普通にブラウザでアクセスして日記書いています。
      3日坊主で終わるかもしれませんが。

      # コメントゼロを目指しているのでAC
      親コメント
  • by Anonymous Coward on 2004年12月31日 10時24分 (#672649)
    フィッシング対抗ツールバー対抗ツールバーとか出ませんか?詐称のためのツールバーとか

    #テキトー発言なのでAC
    • 「フィッシング対抗ツールバー対抗ツールバー」が出るかは知らんが、「対抗」と言う言葉を使っているのは、

      >たいこう ―かう 0 【対抗】
      >(名)スル
      >(1)互いに張り合うこと。負けまいとして競い合うこと。
      >「―意識を燃やす」「連合して強敵に―する」「―試合」
      >(2)競馬や競輪で、本命に次ぐ実力があると予想されるもの。「〇」印で表す。

      と言うように、「互いに張り合う」「競い合う」とクラッカー側と競い合うことは分かっているからだろう。

      俺、googleとかへのアクセスも、自作右クリックスプリクト使っている。
      専用のプラグインとかツールバーとか使うのってリスク高いんじゃ?
      親コメント
  • by Anonymous Coward on 2004年12月31日 12時37分 (#672681)
    があると騙されそうですね。
  • by Anonymous Coward on 2004年12月31日 21時16分 (#672806)
    チュートリアルに詳細が載っているが、XSS(クロスサイトスクリプティング)や………をトラップすることもでき
    どこにそんなことが書いてあるの?
    • by stwo (9482) on 2004年12月31日 22時38分 (#672830)
      ●Netcraft: Netcraft Anti-Phishing Toolbar Available for Download
      http://news.netcraft.com/archives/2004/12/28/netcraft_antiphishing_toolbar_available_for_download.html

      こちらには、以下のように書いてあります。
      「Natively traps cross site scripting and other suspicious urls containing characters which have no common purpose other than to deceive.」

      恐らくは要求されたURLが妙な文字を含んでいれば、ということらしいですね。
      method=postでXSSが発生する場合はどうなるのかが気になるところです。
       
      --
      | 慈愛こそ慈愛
      親コメント
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...