パスワードを忘れた? アカウント作成
11283 story

Webkitにリンク先偽装が可能な問題 20

ストーリー by Acanthopanax
事前に確認しましょう 部門より

harden-mac MLでの情報によると、Webkitを使用したアプリケーション(Mail.appなど)に、画像に設定されたリンクのリンク先を偽装できる脆弱性があることがわかった。Safariにこの問題があることが先週報告されていたが(Secuniaのセキュリティ勧告SA17618)、Webkit全般の問題であることがわかったもの。SA17618では例として、以下のコードが挙げられている。

<form action="[malicious site]">
<a href="[trusted site]"><input type="image" src="[image]"></a>
</form>

[image]からのリンク先は、ポップアップやステータスバーでは[trusted site]と表示されるが、クリックすると実際には[malicious site]へアクセスしてしまう。
SecuniaのSA17618では、危険性の評価は最も低い“Not critical”となっているが、Webkit自体に問題があることを報じているSecure OS Xの記事では、フィッシングに悪用される恐れがあるとして、HTMLメールでのソースの確認、個人情報を入力する際のサイトの確認、同じパスワードを使い回さないといった基本的な対策を提示している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ちなみに (スコア:3, 興味深い)

    by docile-jp (16652) on 2005年11月23日 14時06分 (#836547) 日記
    Safari だと、右クリックでメニュー出してリンクをたどると、ステータスバーに表示された URL に移動します。
    Mac 版 IE では、カーソルを画像に重ねるとリンク先が「フォームの送信」と表示されます。
    • by LightSpeed-J (4514) on 2005年11月23日 15時36分 (#836580) ホームページ
      本当に不勉強でコメントするので申し訳ないんですけど...

      一般に文法的厳密さばかりが求められているけど、
      その文が何を意味するかには、多くの人が鈍感ということなのかな。

      ある文書の意味が判断しにくい状況を招く文法で律された世界、
      というものを、扱いづらくて皆困っている、という現実なのでしょうか。
      どうしてこうなっちゃったのでしょうね。

      と、セキュリティ/言語学/...の素人の私の目には、この手の「脆弱性」の話題がでると、それは脆弱なんではなくて、文学作品解釈上の問題なように写ってしまうこともあります。

      一つの意味には一つの表現しか許されないような体系を築くのと、一つの表現には一つの意味しか許されないような体系を築くのは、この場合、どちらが難しいのでしょうね...
      --
      -- LightSpeed-J
      親コメント
  • とりあえず (スコア:3, 参考になる)

    by misty_rc (2036) on 2005年11月24日 17時55分 (#837321) 日記
    Safari使いの人はSafariStandいれると現時点での
    偽装対策にはなります。

    http://hetima.com/safari/stand.html

    2.0b11 - 2005-11-24

    ・フォームの送信先をステータスバーに表示する機能を追加(デフォルトはオフ)
  • IEやOperaも (スコア:2, 参考になる)

    by Anonymous Coward on 2005年11月23日 11時51分 (#836482)
    参考記事どうぞー。
    IEやOperaにステータス・バーを偽装できる問題 [nikkeibp.co.jp]
    Macセクション的にはWebkitとsafariの問題ですが、元々(Windowsの)IEやOperaで発見されたお話とのこと。
  • by Anonymous Coward on 2005年11月24日 1時49分 (#836956)

    IE & Operaもまずいようですし、「script off」で安心しきっていた私には、かなりショッキングな二ユースです。

    #未パッチなこれ [itmedia.co.jp]も気になるところであり、まとめて、(トップへ)昇格してもいいような価値のあるニュースであると思うのですが?

    --

    M1の後に思いついた間抜けなので、AC
  • by aql (23441) on 2005年11月23日 22時21分 (#836814)

    Objective-Cのコードが直接書けるのかと思った。

  • むしろ (スコア:1, 参考になる)

    by Anonymous Coward on 2005年11月24日 4時32分 (#836989)
    Safariではformのimageボタンにマウスを重ねても通常はリンク先が表示されません。
    (また、コンテクストメニューにリンクを開く系の項目は表示されません)

    つまり、ステータスバーにリンク先が表示されること自体おかしいわけで、
    何も偽装をしないときよりもかえってフィッシングだと気付く確率が上がってしまいますね。
    • Re:むしろ (スコア:2, 参考になる)

      by ryouki7000 (10944) <ryouki7000NO@SPAMgmail.com> on 2005年11月24日 10時26分 (#837090) 日記
      わざわざ作るのもアレかなと思ったけど....
      やる気の無い実証ページ [geocities.jp]どうぞ。

      Yahooのロゴが、実はフォームのボタンです。
      FirefoxではYahoo! Japanに飛ぶけど、IE6だと/.jpに飛びます。
      親コメント
      • Re:むしろ (スコア:2, 参考になる)

        by Anonymous Coward on 2005年11月24日 13時38分 (#837223)
        <form><a><input type="image"></a>な画像を、ユーザスタイルシートを使って消すことができます
        http://d.hatena.ne.jp/t_trace/20051123#1132752684

        下記を記述したテキストファイルをユーザスタイルシートとして登録すれば、Safariでは上記実証ページの画像が消えます
        form a input[type=image]{
                display:none ! important;
                }

        この対策をキャンセルする方法もあるかもしれませんが一時しのぎにはなるかもしれない
        Webkit全体で使えるスタイルシートを設定する方法があればいいのですけどね
        親コメント
      • Re:むしろ (スコア:1, 参考になる)

        by Anonymous Coward on 2005年11月24日 14時21分 (#837236)
        w3m-0.5.1にopera8.5だと/.jpに飛びます。
        親コメント
    • by targz (14071) on 2005年11月24日 10時38分 (#837098) 日記
      いえいえ、リンクが form タグに囲まれていることは、ソースを見ないと分かりません。あたかも普通のリンクのように見せて、実は form タグで囲ってある場合、フィッシングと気付きにくいでしょう。

      親コメント
  • KDEは? (スコア:1, 興味深い)

    by Anonymous Coward on 2005年11月24日 6時47分 (#837011)
    KDE使いの方、KonquererはWebKitのベースだったと思うのですが、大丈夫でしたか?
  • by Anonymous Coward on 2005年11月25日 15時22分 (#837770)
    リンク先にジャンプした後に現在のアドレスを確認するのが正しい。
    • by Anonymous Coward on 2005年11月25日 17時57分 (#837853)
      信じたくなるシンプルな短いコメントって力強いですね。

      ジャンプしちゃいけません。

      「踏ませる」ことを目的とした偽装もあります。
      META refreshでさらに別ページへの誘導、JavaScriptでのタイトルバー偽装、セキュアでないクッキー、IPのぶっこ抜き、生きているメールアドレス(やアカウント)を収集するなど、ただ「踏むだけ」でできる事もそれなりにイヤんなものがありますから、悪意を持って作成されたリンクは踏んじゃいけません。

      また、入力フォームがある場合、画像のクリック(ヘルプアイコンとか、トップページに戻るとか、テキストに偽装した画像など)で入力フォームの中味を送信する事もできます。
      親コメント
      • META refreshでさらに別ページへの誘導、
        別に問題ないですね。最後のページでアドレスを確認すればいいから。
        JavaScriptでのタイトルバー偽装、
        そんなこといまどきできませんよ。もしかしてパッチあててないの?
        セキュアでないクッキー、
        何それ?あなた、意味わからずにそれ書いてるでしょ。
        IPのぶっこ抜き、
        べつに問題ないですね。だいいちジャンプ前だとそれを避けられるのかね。
        生きているメールアドレス(やアカウント)を収集する
        どうやって?できるわけねーだろ。メーラの話じゃないぞ。
    • そもそもSafariのディフォルトでは,
      ステータスバー自体表示されていないのでは
      なかったでしたっけ
    • phishingだけを考えるならその通りかもしれないですが。

      確実にマズそうなケースを一つ。
      リンク先がWebブラウザで表示できない物の場合、遷移先のURLは確認できないですよね。実行モジュールのダウンロードだったりしたら強力。ハッシュを確認しろとか、署名とか、SSLとか、そういう話はあるけど、現実としてこれは危ないような気がする。

      また、一般論として、セキュリティの確保のためには複数の方法を組み合わせて、それでやっと何とか上手くやってるのが現実。1個欠けても問題ないなんてことは言えない。
      • リンク先がWebブラウザで表示できない物の場合、遷移先のURLは確認できないですよね。実行モジュールのダウンロードだったりしたら
        リンクの貼ってあった元のページの信頼性を確認済みのときだけ、実行ファイルを起動するでしょ、普通。
        ステータスバーで判断するなんて馬鹿のやること。
  • by Anonymous Coward on 2005年11月24日 15時43分 (#837268)
    つーか、このページ、頼むからトップにあげてくれぇ。
    Firefox以外、軒並ヤバいぞ!
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...