パスワードを忘れた? アカウント作成
207416 journal

C0FFEEの日記: (メモ)(セキュリティ)いいのかい?ホイホイクリックしちまって。 5

日記 by C0FFEE

俺は短縮URLでもリダイレクタでも、なんだって悪用しちまうような人間なんだぜ

最近、Twitterが盛り上がってきたのにつれてTwitterの外でも短縮URLを見かけるようになった。
短縮URLを踏む時の信頼性の担保、判断基準は、それを貼ってる人が信頼出来るかどうかになる。
(サービスや状況によっては変わってくる場合もあると思うけど)

しかし、そうしてサービスが定着していくと、いつかbit.lyとかgoog.leのようなドメインまで丸ごと
信頼されてしまうか、踏む事に少しも躊躇や警戒心が生じなくならないかと思ったりする。
顕在化してない事を声高に主張すると、高木先生から似非セキュリティ技術者とか突っ込まれそうな気がする。
という訳で、今のところそこまで無頓着なユーザーは居ないって事でスルーしているのだけど。

しかし、それでも個人的には気持ち悪さがあり、リダイレクトの前に確認したいのでFirefoxアドオン無いかと探してみた。
どうやら、NoRedirectというので期待通りの動作になりそうなので、試して見ることにしよう。
#設定はkaito834氏の記事を参考に

[関連情報]
CSS によるブラウザ履歴の漏えいを防ぐ取り組み(2010/04/01,Mozilla)
Firefox Add-on「NoRedirect」で HTTP レスポンスコードによるリダイレクトを防止する(2010/03/06,kaito834氏)
Symantec、『Twitter』の短縮 URL に関してユーザーに警告(2009/09/28,japan.internet.com)
[ネット技術]短縮URLについて再び(2009/12/06,及川卓也氏)
[ネット技術]短縮URLのリスクと対策(2009/08/15,及川卓也氏)
「NoScript」をやめて「RequestPolicy」にした(2009/05/31,高木浩光氏)
リダイレクタの存在は脆弱性か?(2005/12/05,高木浩光氏)

[Firefox Add-on]
NoRedirect
Redirect Remover
NoScript
RequestPolicy

この議論は、C0FFEE (36377)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
  • by 90 (35300) on 2010年04月02日 11時03分 (#1742430) 日記

    「きっとバグはないから、ゴッゴル踏んでもこのブラウザは大丈夫だろう」
    「きっと今のウイルス対策はわりと信頼できるから、ウイルス入っても駆除すれば大丈夫だろう」
    と私は妄信するようになりました。おかげで個人情報入力が怖い怖い…

    • firefoxもgoogleも悪意のあるサイトにはコンピュータに悪影響がなんとかって警告しますからね。
      明確な悪意は封じ込まれやすくなっている反面で、考えなくても良いリスクになると、
      忘れた頃に顕在化するから恐ろしいですよね、外から閲覧可能な領域に名簿.xlsが置かれるとか(笑)

      親コメント
    • これに近いですかね。
      (アンチウィルスソフトは半分くらいしか信頼してませんが)
      NoScript入れてるから、
      今までにOnにしたサイト以外javaScriptはOnにならないので
      それなら大丈夫か。と。

      # 画像経由オーバーフローで送り込まれるとNGだけど
      # あとFlashもOffにされるからいいね>NoScript

      親コメント
  • 利用者の簡潔な鉄則は、情報を入力する直前で今見ている画面を確認すること

    「リンク踏んだだけでガタガタ言うなや。
    とりあえず、自分から情報入れる前に、きっちり確認しとけばいいんだよ」
    という高木氏の指摘は、まったくもって正論なんだけど。
    でも、飛び先がどんなトコロか、urlから見当が付け難いっていうのは、
    マズいと思うんですけどねぇ。

    例えば「nhkへのリンクだよ」というアンカーを踏んだら、tbsのサイトが出た
    という状況でさえ一種の「ウィルス」たりうる、という
    情弱な人への優しさみたいなモノを持って欲しいとか思ったり。

    • 飛んだ先で何か操作して初めてリスクが顕在化する場合は、自己責任と転嫁出来るかも知れません。
      またどこに繋がるか解らないURLが介在する事で、却ってアクセス終端で警戒する人もいるかも知れません。
      しかし、「踏ませたら勝ち」ってケースもあると思うんですよね。
      悪意のある仕掛けを施したサイトでなく、無神経なマーケティング目的とか。

      特に、Twitterのように必要に迫られてもいない状況で使う場合、そういうケースが見受けられます。
      必要でもない状況なのに短縮URLを使うなんて、それだけでも不信感を与える行為だと思うのですが、
      カジュアルに使われると次第に気にしなくなって、アクセスまでは許すのが習慣化するかも。
      いや、遷移前の確認にはアドオンが必要という現状は、すでに気にするほうが病的で神経質な奴みたいです。
      まあ発生し得るリスクからすれば、否定できない所なんですけどね(苦笑)

      親コメント
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...