題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。
| Tweet |
▼ブラウザの弱点を使ったトリックで,ブックマークを読まれる危険性
【米国発】 2000.4.20 1:49 PM PT――(ZDNN)
Netscape Navigator 4.xについて新たなセキュリティ上の弱点が報告されている。この弱点につけ込んだトリックによって,Webサイト管理者がサイトにアクセスしてきたユーザーのブックマークやキャッシュファイルを読むことができるというものだ。
また一部の報告によると,MicrosoftのInternet Explorerにも,同じ問題は起こり得るという。
このトリックは,cookieを使い,JavaScriptをユーザーのコンピュータで走らせる。Webサイト管理者は,ユーザーを複数のフレームを使ったページにリダイレクトさせることができる――1つのフレームはcookieファイルのために,また別のもう1つのフレームはそのサイト管理者が読みたいページのために。悪意を持つサイト管理者は,こうしたトリックにより,これらのファイルが読まれるのを禁じたセキュリティプロトコルをバイパスできる。
この問題を公表したPeacefire.orgのWebサイト管理者Bennett Haselton氏は,この問題は,バグではなく,コードの中にトリックに使える弱点があるということだと説明している。
バグではない
「ブラウザの中に,不正な動作をする要素が含まれているというわけではない。むしろ,全てが期待通りに動作するために,このトリックが機能すると言える」(Haselton氏)
Netscapeから,この件についてのコメントは得られていない。
Haselton氏によると,同氏はこのトリックを実際に使っている例を目にしたことはない。
このトリックは,ユーザーがJavaScriptとcookieを有効にし,プロフィール名をデフォルトのままにしておいた時にのみ機能する。プロフィールを変更すれば,Webサイト管理者が新たな名前を知らない限り,ユーザーがこのトリックにひっかかることはない。
他のブラウザでも
「(デモ用の)サイトをほかの人にヒットさせてみて,その人のブックマークを私宛に電子メール送信させるという仕組みがうまくいくことを確認した。そのブックマークにはアダルトサイトが含まれていたが,こうしたことは,誰も他人には知られたくないだろう」とHaselton氏。
同氏はほかのブラウザではこのトリックを試していない。だがおそらくInternet Explorerや,他のOS環境への適用も可能だろうと言う。
「修正を加えれば,IEや,Mac/UNIX版のNetscapeで機能させることも可能だろう。何らかのバグに依存するものではないため,他のプラットフォームへの移植もできると思う」(Haselton氏)
[Margaret Kane, ZDNet/USA]
http://www.zdnet.co.jp/news/0004/21/browser.html
題名には必ず「阿修羅さんへ」と記述してください。