« クジラのヒゲの使い道 | トップページ | 着メロのPC版「受メロ」 »

タブブラウザの仕様に対するセキュリティ上の懸念

これは所謂、バグ(不具合)ではなく、タブブラウザ全般の基本的な仕様に対して懸念が出たという話ですが、
「Sleipnir」「Firefox」などのタブ切り換え型Webブラウザーに存在する脆弱性(窓の杜)
主要ブラウザのタブ機能に、共通のセキュリティバグ (ITmedia/CNET)
こういうのが警告出てます。

で、窓の杜の記事が詳細で役に立つんですが、私が使ってるDonut Rapt.がテストに含まれてないので試してみたところ、どうもアヤシイ。
「影響を受けない」状態というのがどういう状態なのかわからんので断言はできませんが、問題の概要を見る限り、Donut Rapt.は両方影響受けるように見えます(私の誤解の可能性もあるので念の為←と書きましたが、RAPT氏のほうでも確認できたとのこと)。
手口は既に公開されていますし、これはMozilla.や国内で普及してる IEコンポーネントを使ったタブブラウザ全般に影響があるので Secunia.の実験ページを使った確認手順を書きます。悪用しないように。

テストの仕方(窓の杜の記事を参考)
・ダイアログの偽装問題
実験サイトである、
Secunia - Multiple Browsers Dialog Box Spoofing Test
にアクセスします。「Open this Link in New Tab」で新しいウィンドウ(タブ)を開きます。リンク先はシティバンクのページです。右クリックかSHFTの同時押しで新ウィンドウで開き、実験ページのタブは閉じずに、シティバンクのアドレスのタブをアクティブにして少し待ちます。
テキストボックスがポップアップするので文字を入力。ここでアクティブになってるのはシティバンクのアドレスなので、ユーザーはシティバンクのサイトが表示したポップアップだと思ってテキストボックスに文字を入力、送信します。
が、このダイアログは実際には、元のページ(Secunia.のページ)が表示したダイアログでシティバンクのものではないのです。ここで元のページ、Secunia.のページのタブをアクティブにして確認すると「2)Result」にシティバンクに送信した(と思い込まされた)はずのテキストが。

・フォーカスの強制固定
実験サイト、
Secunia - Multiple Browsers Form Field Focus Test
にアクセスします。「Open this Link in New Tab」で新しいウィンドウ(タブ)を開きます。今回もシティバンクのサイトが開きますんで、実験ページのタブはそのままにして、シティバンクのタブをアクティブに。
画面の中央・右に zip code.を入れるフォームがあるのでここに数字を入れてみます。数字を打ってるはずなのに画面にはなんにも出ないはずです。はてブラウザがおかしいんでしょうか…?
そんなことはなく、実際には元のページ(Secunia.のページ)がデータを横取りしてるせいでシティバンクのフォームに文字が出てないだけで、Secunia.のページをアクティブにして見ると「2)Result」にシティバンクのフォームに入力したはずの数字が…。
ちなみにこのウィンドウを開いたままにしているとウィンドウに関係なくフォーカスを奪われて正常なブラウズが不可能になるので、用事が終わったら閉じましょう。

で、私はこれを、Donut Rapt#51+IE6SP1/Win98でテストしましたが影響が出てるように見受けられます。
私の誤解だといけないので、BBSのほうには書かず、Rapt氏に直接メールしておきますが。
ひとまず、銀行などのサイトを使うときは、タブブラウザを使わないか、他のサイトは開かずに銀行サイトだけ表示させて取引したほうがいいでしょう。念の為。

'04/10/23 追記
RAPT氏(作者)からメール返信。Q16でテストし、再現。(モノの性格上)根本的な対策は難しそうだが、なにか出来ないかやってみるとのこと。
今公式ページ見たらここ、リンクされててちょっとビクリw(参考としてメールに付記したからですが)。よく考えたら公式サイトにちゃんとリンクしてなかったなとリンクを追記。
・公式:Donut RAPT 配布所

'04/11/11 追記
一般的な「フィッシング詐欺」について面白い解説記事があったので貼っておきます。
目で見る「アドレスバー偽造型」フィッシング詐欺の手法(ITmedia)
アドレスバーを上書き。確かに初心者は騙されるなこれ…と実感。まぁIEをデフォルトで使ってない人にはあんま関係ない気もしますが。

'04/11/18 雑記
インターネット日和: 「Sleipnir.」ソースコード紛失で開発停止
RAPTさんが「ソースをバックアップ」云々と書いてるのはこの関係ですな。リアルのセキュリティも大事です…。

'04/12/09 追記
来る人かなり減りましたな。
で本文のほうにちょっと関連する新しい「懸念」が発表されてます。
複数のブラウザにポップアップウィンドウをハイジャックされる脆弱性(INTERNET Watch)
主要Webブラウザにポップアップウィンドウ偽装の脆弱性、フィッシング詐欺につながるおそれ(ITmedia)
JSを使って、ポップアップウィンドウを強制的に書き換える。
基本的なノウハウや予防法としては、この記事の本文のものと一緒ですね。細部が違いますけど。

|

« クジラのヒゲの使い道 | トップページ | 着メロのPC版「受メロ」 »

コメント

この記事へのコメントは終了しました。