Netcraftから「フィッシング対抗ツールバー」 26
ストーリー by GetSet
騙されないために、その1 部門より
騙されないために、その1 部門より
slashdot.org 曰く、 "本家記事より。Netcraftが、訪問中のサイトに関する詳細情報を確認できるAnti-Phishing Toolbarをリリースした。チュートリアルに詳細が載っているが、XSS(クロスサイトスクリプティング)や怪しげなURLをトラップすることもでき、さらに、フィッシングサイトを Netcraft に報告し(Netcraftが確認し)、他の人の被害を防ぐこともできる。いまのところ、IE版しかないが Firefox版も開発中とのこと。"
あれば役に立つだろう、万能ではないとしても (スコア:4, 参考になる)
FireFox なら、アドレスに "about:config" を入力して、以下の値を "true"にするのもフィッシング詐欺対策に良さそうですね。 (本家より)
disable_window_open_feature.location
disable_window_open_feature.status
disable_window_open_feature.titlebar
disable_window_status_change
根本的には、フィッシング詐欺グループの餌食になりやすいサイトのデザインを改善する、というのを全てのオンラインバンクやオンラインショッピングサイトで実施してもらいたいけれど・・・この@ITで紹介されているような企業が対策すべき内容 [atmarkit.co.jp]があまねく徹底されるのは、当面先かな。当面は自衛しないと。
それにしても、「なんたらツールバー」の乱立していることよ・・・
役に立たないものもある (スコア:1, 興味深い)
ヘタに不十分なツールを使うと安心しちゃう分、かえって危険な気もします。
Re:役に立たないものもある (スコア:1)
XSS脆弱性サンプルコードとは具体的に何?
そのXSS脆弱性サンプルコードで Netcraft のツールバーも騙されたの?
なんだか、議論が成立すらしていないって感じですな。
確かに、 asahi.comツールバー [hatena.ne.jp]みたいに、役に立たないどころか入れるとかえってセキュリティーが下がるようなツールバーさえあるのも事実だけど、役に立たないものもあるからといって、今度リリースされた Netcraft のツールバーも含めて全てがダメだという事を結論する証拠にはならないでしょう。そのXSS脆弱性サンプルコードで Netcraft のツールバーで paypal.com と表示されるかどうかで有用性が決まると思うけど。
役に立たないものもあるかどうかは・・ (スコア:3, 参考になる)
ブラウザ側(IE)のXSS脆弱性を示すTESTページです。
●SecuniaによるIEのXSS脆弱性を示すデモ
http://secunia.com/internet_explorer_cross-site_scripting_vulnerability_test/
>そのXSS脆弱性サンプルコードで Netcraft のツールバーも騙されたの?
あくまで一般論ですが、この手の拡張されたツールバーでブラウザ自身がもつXSS脆弱性をブロックすることをあてにしないほうが良いでしょう。特定のサイトが持つサーバサイドのXSS脆弱性とは切り分けて評価すべきかと。
なお、上記Secuniaのデモでは、正しくPaypalにアクセスしている状況でありながら、表示されたページのコンテンツ内容だけをIEのXSS脆弱性によって差し替えています。このような状況で機械的にXSS脆弱性をついたフィッシングであることを検知することははなはだ難しいと思われます。
こちらの意見も。
http://d.hatena.ne.jp/hoshikuzu/20041217#20041217XSSDEC
http://d.hatena.ne.jp/hoshikuzu/20041219#20041219XSSDEC
| 慈愛こそ慈愛
Re:役に立たないものもあるかどうかは・・ (スコア:1)
情報ありがとうございます。W2KSP4+MS04-044 の FireFox 1.0 で、サンプルコードを試してみました。
→ まったく動作しませんでした。「あれ」と思って英語を見ると、「なんだ、こりゃ IE の脆弱性じゃないか。FireFox じゃ動くわけないか」と納得。 (^^;
ええと、DHTML Edit ActiveX control の問題ねぇ。 FireFox は ActiveX に対応していない [nikkeibp.co.jp]のだから関係ないやっていうか、そもそも脆弱性が無いのだから、嘘の URL なんか最初から表示されない。ツールバーなど無くても、です。
> このような状況で機械的にXSS脆弱性をついたフィッシングであることを
> 検知することははなはだ難しいと思われます。
ええ、未対策の脆弱性のあるブラウザを使って、なお安全を確保したいというのが無理な要求なんだと思います。元からフィッシングに悪用されやすい弱点のあるブラウザに、対策ツールバーを入れたから大丈夫、とはならないというのは同感です。
それで、Netcraft のフィッシング対抗ツールバーですが、Firefox 版はこれからという事ですが・・・フィッシング詐欺にひっかかりやすい初心者は、Firefox 入れて使おうという人は少ないだろうし、逆に、安全に非常に注意を払って、もっぱら Firefox を使っているような人は、ツールバーなんか無くてもフィッシング詐欺にはひっかからないのでは、という意見も本家の方にありました。
でも、どうしても IE でなければという場合は、対策ツールバーの結果を鵜呑みにはしないとしても、これで検出されて助かる場合もあると思います。アンチウイルスソフトだって、検出できない場合もありますが、それでも無いよりは、ある方が助かりますからね。( ここで「IE を安全に、なんて最初から無理じゃね~の」とか言ってしまうと、ぶちこわしですから) 結局、
- ブラウザ自体が安全を考慮した物の方が好ましいか、関係しないか。
- ブラウザに脆弱性があって、それが対策されていないというのは、フィッシング詐欺以前の問題ではないか。
- 対策ツールバーは有益か否か
というので、議論の前提も色々分かれますかね。Re:役に立たないものもあるかどうかは・・ (スコア:1)
なぜ「ツールバー」? (スコア:2, すばらしい洞察)
けど、ちょっとおかしいんじゃないか?
付加機能でメインの機能が見えにくくなるのってどうなんだろう?
「ツールバー」みたいにウルサイ機能じゃなくて、
もっと大人しい機能があってもいいんじゃないかと思う。
HTTP Proxy とか、Windows 右下のタスクトレイ(であってるよね?)とか。
あと、 Google Desktop Search も謙虚&静かで好きだ。
# どれもツールバーと同じ機能を持たせるの難しいのはわかるが
# これらの選択肢に制限されることなく、静かなアプリケーションがほしいってことを言いたい
Re:なぜ「ツールバー」? (スコア:1, おもしろおかしい)
>けど、ちょっとおかしいんじゃないか?
上のツールバーの縦か横いずれかの柄を合わせると消えます。
Re:なぜ「ツールバー」? (スコア:1)
| >友人のブラウザはツールバーで画面上位をほとんど占めてる。
| >けど、ちょっとおかしいんじゃないか?
|
| 上のツールバーの縦か横いずれかの柄を合わせると消えます。
縦とは限らず、画面に同じ行が2段あったらフィッシング警報
ツールバーを消さずにウィンドウを閉じましょうw
Re:なぜ「ツールバー」? (スコア:1)
Re:なぜ「ツールバー」? (スコア:0)
あまりにもたくさんあるとウルサクなるよね。
でも、使う可能性のある機能は画面に出しておく
(か、画面のメニューなどからたどれるようにしておく)
必要がある、というのはGUIの本質にか
Re:なぜ「ツールバー」? (スコア:1)
| でも、使う可能性のある機能は画面に出しておく
| (か、画面のメニューなどからたどれるようにしておく)
| 必要がある、というのはGUIの本質にかかわることだから
| (だって、目に見えないものはグラフィカルたりえないから)
| GUIの宿命だと思うよ。あとはどのあたりでバランスを
| とるか、というくらいの選択肢しかない。
そうでしょうか。言いたいこともわかるのですが。
GUI はもっと可能性のあるものだと信じたい。いや、信じてますw
信号だって、青黄赤の3色でどれかが必ず光っているものもあれば、
赤だけの警告灯(警告が必要ないときは無灯)もありますよね?
今回のフィッシング対策ツールバーが
どういった挙動をするのかわからないけれど、
ツールバーである必要はないんじゃないかと。
巷のツールがなんでもかんでもツールバーになりすぎなんじゃないかと。
そんな私ですが、 Google Desktop Search がインデックスを作る
ときに出てくる英文ダイアログを見ると、スパイウェアにやられたかな、
とビビッたりもしてます。 GUI って奥が深いですね。
# ご意見ありがとうございます
Re:なぜ「ツールバー」?(オフトピ: -1) (スコア:1)
今のGUIと、私が知ってる範囲での昔のGUI、きれいな絵になって、
透明化やアニメーション効果などが施されてはいるのですが、
ボタンやメニュー、アイコンをクリックして操作するという
基本操作やそれの発展形はあれども、「これはすごい」と思える革新的な変化には
それほど出会ったことがないんですよ。
あえて挙げてみるとすれば、マウスホイールができたこと、くらいでしょうか。
…と思ってはいるけど今のところ革新的な操作方法も思いついてないし、
思いついたとしてもそれを形にする能力も私にはないわけですが。
1を聞いて0を知れ!
究極のインターフェース (スコア:0)
Firefoxにしても可能な限りショートカットで操作してますし、マウスジェスチャー
も全く使っていません。とろくて鬱陶しいので。
つーか、その前にマウス自体つけてないけど。
GUIの最大の欠陥はマウスのようなポインティングデバイスに依存している
点だと思う今日この頃。
Re:究極のインターフェース (スコア:1)
ポインティングデバイスはGUIの弱点でもあるけど利点でもあるので、
emacsがキーボードを最大限に使いこなしているとすれば、
究極のGUIはマウスも最大限に使いこなすことが必要なのかな、とも思います。
# どちらかといえばvi使い。
1を聞いて0を知れ!
ユーザ #25424 情報 (スコア:1)
こんな使い方というか仕組みがあるんですね。
お友達認定しようかな。
ひょっとして(ロ)ボットじゃなくて、まじユーザー?
Re:ユーザ #25424 情報 (スコア:1, 興味深い)
3日坊主で終わるかもしれませんが。
# コメントゼロを目指しているのでAC
Re:ユーザ #25424 情報 (スコア:1)
ボットというのはロボットの略です。slashdot.jpスタッフが機械的(ロボット)に翻訳サービスを動かしているのかと、私が勘違いしていました。
さらに対抗して (スコア:0)
#テキトー発言なのでAC
対抗には対抗がつきもの (スコア:1)
>たいこう ―かう 0 【対抗】
>(名)スル
>(1)互いに張り合うこと。負けまいとして競い合うこと。
>「―意識を燃やす」「連合して強敵に―する」「―試合」
>(2)競馬や競輪で、本命に次ぐ実力があると予想されるもの。「〇」印で表す。
と言うように、「互いに張り合う」「競い合う」とクラッカー側と競い合うことは分かっているからだろう。
俺、googleとかへのアクセスも、自作右クリックスプリクト使っている。
専用のプラグインとかツールバーとか使うのってリスク高いんじゃ?
Re:対抗には対抗がつきもの (スコア:1)
http://dictionary.goo.ne.jp/search.php?MT=%C2%D0%B9%B3&kind=jn&mode=0
Re:対抗には対抗がつきもの (スコア:0)
このツールバーに偽装したツールーバー (スコア:0)
XSSをトラップできる? (スコア:0)
Re:XSSをトラップできる? (スコア:2, 参考になる)
http://news.netcraft.com/archives/2004/12/28/netcraft_antiphishing_toolbar_available_for_download.html
こちらには、以下のように書いてあります。
「Natively traps cross site scripting and other suspicious urls containing characters which have no common purpose other than to deceive.」
恐らくは要求されたURLが妙な文字を含んでいれば、ということらしいですね。
method=postでXSSが発生する場合はどうなるのかが気になるところです。
| 慈愛こそ慈愛