Firefoxにクロス・ドメイン脆弱性 20
ストーリー by mhatta
チェックチェック 部門より
チェックチェック 部門より
yourCat 曰く、
Mozilla系webブラウザーにSame Originポリシーを回避できるバグが発見された。これを悪用するとクロス・ドメインでCookieの読み書きなどが可能になる。対象となるのはFirefox 2.0.0.1以前の他、SeaMonkey 1.1以前、Camino 1.0.3以前など (CVE-2007-0981)。
修正されたバージョンが公開されるまでは、修正コードを拾ってくる、JavaScriptを切る、あるいはuser.jsに以下を追加しよう。
user_pref("capability.policy.default.Location.hostname.set", "noAccess");
Mac OS X 版 Mozilla Firefox 2.0.0.1 の場合 (スコア:0)
に書き加えれば良い、と思います。
Re:Mac OS X 版 Mozilla Firefox 2.0.0.1 の場合 (スコア:2, 参考になる)
(xxxxxxxx はランダムな文字列)
ただ、ユーザが書き加えるものですから、pref.jsよりuser.jsの方が良いと思います。
なので、に書き加えることをお勧めします。
Re:Mac OS X 版 Mozilla Firefox 2.0.0.1 の場合 (スコア:3, 参考になる)
SeaMonkey の場合は Mozilla/Profiles/default/xxxxxxxx.xxx/prefs.js (x 部はランダム) とかですね。
なお、prefs.js を書き換えるやり方だと prefs.js が読み込まれるのが起動時であることと、終了時に現在設定で上書きされます。user.js に書いた場合は起動時に prefs.js + user.js で設定を読み込んでくれますが、当然ながら起動しなおさないといけません。いずれにせよ、常駐している場合には当然ながら常駐の終了が必要となります。(常駐終了時に prefs.js が保存されます)
といった辺りが面倒なので、about:config で追加するのが簡単だと思います。
about:config で capability.* を探しても見つかりませんが、新規項目を文字列型で追加 (名前が capability.policy.default.Location.hostname.set、値が noAccess) すると起動中でも反映されます。about:config の一覧画面には出てきませんが、終了してみると prefs.js へ書き込まれるのがわかるかと思います。
Re:Mac OS X 版 Mozilla Firefox 2.0.0.1 の場合 (スコア:1)
ついでに。Mac OS X だけに限らず、OS ごとの基準フォルダから先はどのプラットフォームでも同じ構成のはずです。
PC UNIX 系なら ~/.firefox とか ~/.mozilla とか。Windows なら Documents and Settings\(ユーザ名)\Application Data (2000/XP/Server 2003) や Users\(ユーザ名)\AppData\Roaming (Vista) とか。
Re:Mac OS X 版 Mozilla Firefox 2.0.0.1 の場合 (スコア:1, 参考になる)
分かっている人には改めていう必要ありませんが、パスの中にランダムな文字列を含むのはprofileの位置を第3者に特定されにくくするためのセキュリティ上の措置です。
ですので、人に教えてはいけません。
vn氏のように晒してしまった場合はprofileを作り直しましょう。
Re:Mac OS X 版 Mozilla Firefox 2.0.0.1 の場合 (スコア:1)
プロファイル作成時のバージョンではランダムな文字列が3文字しかなかったようで、
すっかり見落としていました。
注意喚起してくれたモデレータにも感謝します。
Re:Mac OS X 版 Mozilla Firefox 2.0.0.1 の場合 (スコア:0)
読み書きと書いてありますが (スコア:0)
書きは出来ますが読みは出来ませんでした。
うちの環境が変なのかな?
めんどくせぇな (スコア:0)
>user_pref("capability.policy.default.Location.hostname.set", "noAccess");
こういうのを他のアプリを使わず単独で容易に設定できるようになるのはいつのことかね?
Re:めんどくせぇな (スコア:0)
つ「chromEdit [mozdev.org]」
Re:めんどくせぇな (スコア:0)
Re:めんどくせぇな (スコア:3, すばらしい洞察)
・他のブラウザを使う
が、付いてませんね。
これもスラド特有のバイアスでしょうか。
Re:めんどくせぇな (スコア:1)
拡張性が違いすぎます。
# と、あえて、フレームの元を…。
Re:めんどくせぇな (スコア:1, 興味深い)
Firefoxでわざわざ拡張したのと同じ程度のものはいくらでも
ありますがね。
いくつかのネットワーク機器などのWebユーザインターフェースでは
IEでしか使えないものもあるので、IEはFirefoxの代わりにはなるが、
FirefoxはIEの代わりにはなれないというのが正しい。
代わりにはなれないから、普段はFirefoxを使っていても、必要に応じて
IEを使っているという人は多いですよ。
Re:めんどくせぇな (スコア:1)
>FirefoxはIEの代わりにはなれないというのが正しい。
「代わりになる」かどうかは何をもって「代わりになる」とするかに依存する問題。
俺に言わせりゃ「どちらも互いに代わりにならない」。
「IE」と「Firefox」を入れ替えても成立する話のように読めます。
「ネットワーク機器などのWebユーザインターフェース」っての個人的な事情でしょう。
Re:めんどくせぇな (スコア:1)
まぁ、使い分けてるのと変わりませんが、あらかじめIEで見たいドメインとかを登録しておけばそのURLにアクセスするときはIEコンポーネントを使ったブラウザのように動作します。
SSLとか使うときにUIでの確認とかができないんで、銀行とかで認証を使う必要があるときには使いたくないですが。
◆IZUMI162i6 [mailto]
Re:めんどくせぇな (スコア:0)
いいえ、貴方のスラドに対するバイアスです。
Re:めんどくせぇな (スコア:0)
Re:めんどくせぇな (スコア:0)
いつまで待てば、間違った設定にアラートを出すようになるかね?
Re:めんどくせぇな (スコア:0)
レジストリどうのこうのと違うレベル。