各種タブブラウザにダイアログボックス偽装の共通欠陥が見つかる
2004-10-21 09:30
Secunia Research の勧告によると、Mozilla、Firefox、Netscape、Camino、Safari、Konqueror の各タブブラウザに共通の欠陥があり、JavaScript のダイアログボックス経由で、タブをまたがって非アクティブなタブのサイトが表示したダイアログボックスが、アクティブなタブのサイトが表示したように見えるため、ユーザが騙されて情報が盗まれるおそれがあるとのこと。
実証コードも公開済みで、試したところ Citibank のサイトに表示された(ように見える)ダイアログボックスに文字列を入力すると、Secunia のサイトのフォームに出力されるのが確認できます。
CNET Japan の記事によれば、
KDE Projectは、19日(米国時間)にリリースした最新バージョンのKonquerorでこの問題を修正している。また、Mozilla Foundationのエンジニアリング担当ディレクターChris Hoffmanは、この問題はFirefox 1.0出荷時には修正されるはずだと述べている。Firefox 1.0はあと2週間ほどでリリースされる見込み。Operaからはコメントが得られていない。
とのこと。Firefox 1.0 の正式リリース延期はほぼ確実になりましたね。現在できる最良の回避策は、信頼できるサイトとそうでないサイトを同時にタブで開かないことです。なお、MSIE にも別の欠陥が見つかっています。
やっとでコメントできるようになった(笑 ずっと404でした。あと、404ページの連絡先が不適切 (root@localhostとなってる) であることを指摘しておきます。
> JavaScript のダイアログボックス経由で、タブをまたがって情報が盗まれるおそれがあるとのこと。
ちょっと違います。
・裏のタブが開いたダイアログが最前面に表示され、表示中のタブが開いたものと誤解される恐れがある
・タブ間 (ウィンドウ間) でフォーカスが移り、入力が奪われる
の2種類の *問題* を指摘しています。
後者の問題については、Mozilla Firefoxは2004-10-23付けのビルドで一応の修正が完了しました。
コメント by もとひこ — 2004-10-24 07:28
ご指摘ありがとうございます。
確かに不正確なことを書いていました。ブラウザ上で自動的にデータが盗まれるのではなく、ユーザが騙されてデータが盗まれるわけですね。
ページが表示されなかったのは構築時のミスでした。
404のページは、きちんとしたものを作ろうと思いつつ1年以上放置してるので、なんとかしないといけませんね。
コメント by fumika — 2004-10-25 03:06