SafariなどにSSLで証明書の検証が働かないバグ 28
ストーリー by Oliver
SSLは身元確認の手段 部門より
SSLは身元確認の手段 部門より
jbeef曰く、"5月7日にBUGTRAQに流れた記事によると、 「Safari 1.0 Beta 2」と「Konqueror Embedded」(バージョン不明)に、SSL通信時にCommon Nameが検証されないセキュリティバグがあるという。つまり、たとえば、「www.example.com」用として認証局から取得したサーバ証明書を使って、「https://www.kantei.go.jp/」というニセのサイトを立ち上げたとしても、ブラウザがそれをニセだと警告してくれないということになる。 こうしたとき通常、IEならば「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」、Netscape 7ならば「ドメイン名の不一致: ...提示されたセキュリティ証明書は www.example.com に属します。可能性はかなり低いですが、だれかがこのWebサイトとの接続を妨害しようとしていることも考えられます...」という警告が出るようになっている。また、発見者の指摘によると、Safariには、接続先のサーバ証明書の内容を目視確認する手段も用意されていないとのこと。錠前アイコンをダブルクリックしても何も表示されないそうだ。 発見者はApple Computerに連絡したとしているが、何日前に連絡したのかは不明。"
駄目じゃないかアップル。今使ってるのに。 (スコア:3, 参考になる)
動作速度が速いからいいのだけれど、、。
個人的にはWebブラウザとメールが別れてからのMozillaに相当期待しています。(今の書き込みもMozillaでやってます)
追記
ちなみにMacOS XでCaminoの0.7.0を使っていると、漢字変換(ことえり)をOnにして次候補語句を探していると突然変な挙動をすることがあります。
----------- 一生勉強を続けなきゃ!
Re:駄目じゃないかアップル。今使ってるのに。 (スコア:1)
アレが嫌で嫌で、何度か悲しい思いをした末に Safari に乗り替えたんですが……。
あと、私はSafariでコメント投稿ができない場面というのに遭遇したことはないです。
漢字変換というのは、入力がフィールドに直にはできず、別ウィンドウでやらないといけなくなるやつでしょうか。私の漢字変換は AquaSKK [sherry.jp] ですが、CaminoでもSafariでも同様に発生するように思います。
Re:駄目じゃないかアップル。今使ってるのに。 (スコア:1)
Caminoに関する問題は私の書いた内容が不正確でした。jmkさんのおっしゃる通り、文字を書いててバックスペースを何度か押してると前のページに突如戻ってしまうというのが正解です。
Safariのコメント投稿ができない件はすでにアップルに報告してあります。Caminoの件も報告したいのですが、報告先を把握していなくて、、。まあ私だけではないことが分かりましたので急いで報告してみようと思います。
----------- 一生勉強を続けなきゃ!
Re:駄目じゃないかアップル。今使ってるのに。 (スコア:1, 参考になる)
ref. http://bugzilla.mozilla.org/show_bug.cgi?id=181198 [mozilla.org]
上記、問題は未解決ですが、暫定対処版ビルドを公開している人がいます。
http://www.bekkoame.ne.jp/~h-sek/ [bekkoame.ne.jp]
Re:駄目じゃないかアップル。今使ってるのに。 (スコア:1)
いいですね!
だからオープンなソフトは大好きです!
----------- 一生勉強を続けなきゃ!
Re:駄目じゃないかアップル。今使ってるのに。 (スコア:1, すばらしい洞察)
アプリケーションにも完璧を求める風潮なんですかね。
私は今まで、α、βなんて付くようなバージョンは未完成品で問題を多数抱えている
ものであるという認識でいましたが。
Re:駄目じゃないかアップル。今使ってるのに。 (スコア:1)
β版なんだから、そういう不具合や未実装があって当たり前だと思いますけどね。
Re:駄目じゃないかアップル。今使ってるのに。 (スコア:1)
最近ベータじゃなくてもダメダメな某社のブラウザに怒り心頭だったものでついつい。
開発バージョンなのに文句を言っちゃいかんです。反省。
#ベータでなくなるのを心待ちにしているので実名
----------- 一生勉強を続けなきゃ!
Re:駄目じゃないかアップル。今使ってるのに。 (スコア:0)
パブリックベータ段階なんだから
アップルにだけ伝えればよい問題
Re:駄目じゃないかまだベータなのに文句いっちゃ (スコア:1)
まだβ版のソフトに文句を言っちゃーいけません。
でも今回の件があったおかげで現在三種類のブラウザを使うようになりました。なぜかあの超大手OSメーカーのブラウザだけは使っていませんが。
----------- 一生勉強を続けなきゃ!
Konqueror Embeded? (スコア:3, 参考になる)
Konquerorの方には影響がないようですが、ここでいう「ordinary versionのKonquerorには影響がない」というのがいまいち理解できません。Embededじゃなければいい、ということなのかな。
というのも、今回セキュリティホールがあるとされているのはSafariと、それからKonqueror embededだとのことですが、後者のことがよくわかりませんでした。AppleがWebCoreとして利用しているKHTML engineのことなんでしょうか。
暫定対処? (スコア:5, 参考になる)
(SecurityFocusの記事のリンクもそこにあり)
対策版がでるまでhttps 接続は控えるのが一番なんでしょうが、
暫定対処としてDebugメニューの"Security"->"Performe Strict Certificate Checks"を
チェックしておくとCommonNameのチェックは走るようです。
Re:暫定対処?に (スコア:2, 余計なもの)
情報ありがとうございます。警告されるようになりました。
ちなみに、Debugメニューの出し方はTerminalで
% defaults write com.apple.Safari IncludeDebugMenu 1
です。
Re:Konqueror Embeded? (スコア:3, 参考になる)
私はKonqueror/Embeddedに日本語関連パッチをいくつか適用したKonqueror-ja [que.ne.jp]を一応メンテしてますが、Linuxザウルス上で実行した場合、httpsサイトにアクセスすると以下のようなダイアログが出て無条件に認証に失敗します。
Server Authentication: "The server certificate failed the authenticity test"
ここで"Details"を押すと"Certificate has expired"となってしまっています。問題がOpenSSL(のバイナリパッケージ)とKonqueror/Embeddedのどちらにあるかすら調べていないのですが、このような挙動のバージョンもあるという事で参考まで。
Re:Konqueror Embeded? (スコア:1)
Re:Konqueror Embeded? (スコア:1)
Konquerorが大丈夫でSafariやKonqueror/Embeddedに問題があるのは
そのあたりが理由なのではないかという気がします。
#確認してませんが。
Re:Konqueror Embeded? (スコア:2, 興味深い)
ksslですね。Konqueror/Embeddedでもそのようになっています。
> Konquerorが大丈夫でSafariやKonqueror/Embeddedに問題があるのは
> そのあたりが理由なのではないかという気がします。
Safariはksslを使ってないという事でしょうか。そちらの方はわかりませんが、Konqueror/Embeddedの方をちょっと調べてみました(気分転換を兼ねて)。
kdelibs 2.2のkdelibs/kssl/ksslpeerinfo.ccにbool KSSLPeerInfo::certMatchesAddress()というメソッドがあり、これがcommon nameの照合を行っていますが、これを呼び出すコードはkdelibsにもKonqueror/Embedded(kdenox 1.0)にも存在しませんでした。なのでCN照合チェックは未実装なのではないかと思います。
#ちなみに、kdelibs3ではbool KSSLPeerInfo::cnMatchesAddress(QString cn)というメソッドも用意されたようです。
CNの照合はOpenSSL(libssl)の呼び出し側で実装する必要のある処理だったと記憶していますが、間違いであればご指摘下さい >詳しい方
Re:Konqueror Embeded? (スコア:2, 興味深い)
Safariの発表がされた当時にkfm-develに投稿された関連メールを
読んだ限りでは、KHTMLとKJS以外はAppleが相当するようなコードを独自に開発し
リリースしているというようなことでしたので、おそらくそうではないかと思います。
> kdelibs 2.2のkdelibs/kssl/ksslpeerinfo.ccにbool KSSLPeerInfo::certMatchesAddress()というメソッドがあり、
> これがcommon nameの照合を行っていますが、これを呼び出すコードはkdelibsにも
> Konqueror/Embedded(kdenox 1.0)にも存在しませんでした。なのでCN照合チェックは
> 未実装なのではないかと思います。
だとすると古いkhtmlでは照合チェックはしてなかったのかもしれませんねえ。
あまり記憶がありませんが、エラーはあまり見かけなかったような気もします。
ただ、当時はMozillaの使用頻度も結構高かったので、参考にならないかもしれません。
(注:私は"SSLについて詳しい方"ではないです。)
やっぱりOperaが最高ですね。 (スコア:0, 余計なもの)
はいはい、Operaは凄いですね。 (スコア:0, 余計なもの)
Operaに再び簡単なセキュリティホールが発覚 [srad.jp]
Opera 7に多数のセキュリティホール [srad.jp]
って釣られようと思って待ってたのに残念です。
SSLでproxy経由は動作しない (スコア:0)
Re:SSLでproxy経由は動作しない (スコア:0)
Re:SSLでproxy経由は動作しない (スコア:0)
Re:SSLでproxy経由は動作しない (スコア:1)
proxy 経由ではSSLが動かないが正解かと・・・
Safari 以外のブラウザはみんな動いてます
v74 (スコア:0)
Re:v74 (スコア:1)
Re:v74 (スコア:1)
対策版と見ていいのではないでしょうか?
v74ではDebugメニューで検証を行う設定にしなくても、初期状態で警告が出るようになりました。
ただし、証明書を確認する方法などは提供されていないようです。
Re:v74 (スコア:1)
わたしは Web でダウンロード [apple.com]してしまったので、そのような記述を見ることができませんでした。
本来ならダウンロードページにChange LogとかRelease Note載せるべきですよね~~。