★阿修羅♪ > IT9 > 368.html
 ★阿修羅♪
スラッシュドット:Firefox のパスワードマネジャーで情報が漏洩するセキュリティホール
http://www.asyura2.com/0601/it09/msg/368.html
投稿者 えもたん 日時 2006 年 11 月 24 日 02:56:20: Sm8tIhLhKb2t2
 

http://slashdot.jp/security/article.pl?sid=06/11/22/0520257

本家記事 Firefox 2.0 Password Manager Bug Exposes Passwords によると、Firefox に Reverse Cross-Site Request (RCSR) 脆弱性があるという報告が Bugzilla へ寄せられています。
Firefox のパスワードマネジャは、記憶したパスワードを同一ドメインの別ページにも適用するそうですが、 Chapin Information Services による PoC では、 その際に hidden や display:none を使うことで「知らないうちに」情報が抜き取られるようにしています。
この実例は 10 月の時点で Netcraft が発見 していたそうですので、MySpace 利用者は念のためパスワード変更などの対策をとるべきかもしれません。
さて、今回の件で根本的な問題はどこにあるのでしょうか。 たしか Opera の Wand では、記憶させた情報を使う際に少しのキー操作が必要だったと思いますので、 Firefox が「勝手に」入力してしまうのが問題と言えるかもしれません。 また、ユーザ認証をするドメインで自由な HTML 記述を許すことが問題だ、という意見もあるでしょう。 そもそもブラウザに重要なパスワードを記憶させるな、とも言えそうです。 ご意見お待ちしております。

 次へ  前へ

  拍手はせず、拍手一覧を見る

▲このページのTOPへ HOME > IT9掲示板


  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。