パスワードを忘れた? アカウント作成
436018 journal

T.MURACHIの日記: それをいっちゃあ おしめぇよぉ

日記 by T.MURACHI

マイクロソフト、偽称テクニックを脆弱性とするセキュリティ専門家に反論 (CNET Japan)

 ドイツのBenjamin Tobias Franzという研究者は先週、HTMLの「href」タグ内に2つのURLとテーブルを配置すると、IEのステータスバーに偽リンクを表示できると、オンライン掲示板「Bugtraq」に警告を書き込んだ。

 このような変なリンクをクリックすると、ユーザーの知らぬ間に全く異なるウェブサイトにジャンプしてしまう可能性があると、Franzは主張している。

 しかしMicrosoftは、ユーザーがこうした攻撃の被害に遭うためには、多大なソーシャルエンジニアリングが必要だと述べている。

 「攻撃者はユーザーをあるサイトに誘導して、さらにInternet Explorerのステータスバーに表示されるURLでユーザーを騙し、リンクをクリックさせる必要がある」とMicrosoftは声明に記している。「攻撃が成立するには、ユーザーがこの行き先サイトでさらに攻撃者に誘導されて、アドレスバーに表示されているURLが自分がアクセスしたつもりのURL と違うことに気付かないまま、機密の金融情報を公開するなど何らかの行動をとる必要がある」

ある現象が脆弱性か否かの切り分けは、その動作が機能として意図的に盛り込まれたものか否か、という判断基準があったはずです (例えば、IE のスクリプトによるクリップボード内容の貼り付けは機能であって脆弱性ではない)。 Microsoft 的には、「href 属性を複数記述する」「table タグを使用する」ことによって、ステータスバーにおけるリンク先表示と実際のリンク先を別々にすることができるという動作は、意図した機能であると言う解釈なのでしょうか?

。。。つべこべ言わずにさっさと直せと言う声も聞こえなくもないような気が (^_^;

「多大なソーシャルエンジニアリングが必要だ」と言っていますが、エロで釣る場合はそんなに多大でもないような気がします (-_-; 。実際、この手の動作を利用した騙しリンクを、スポンサーサイトへ誘導する目的で多数貼り付けたエロ系サイトは掃いて捨てるほど存在します (TMJ の復活はまだですかとかゆw)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...