アカウント名:
パスワード:
本家 /. 記事によると、ユーザーのログイン情報を盗む Internet Explorer 向けのエクステンションのコードが公開されたとのこと (作成者のブログ記事) 。
このエクステンションは IE のセキュリティ上の問題を実証するために開発されたとのことで、Web サービスへのログインの際に使われるフォームに入力された ID やパスワードを盗み、Ajax を使って特定のサイトに送信するというものだそうだ。ブログ上でコードの解説も行われている。
作成者である Foo Bar 氏が記事で補足しているが、このエクステンションは Internet Explorer のリポジトリ
言いたいことが良く分からないんだが、要するにこの「コード」はChromeに限らず、そっくりそのまま他のブラウザのエクステンションに当てはまる(移植できる)って事?
そういう技術的な実証と言うか根拠が素人さんの俺には分からんのだが、コピペだと信憑性0なのでもうちょっと技術的な解説を希望。
んー。というかこの話は、ブラウザの優劣を扱う話じゃありません。だからこのコピペ自体が的外れですし。「出来るのかよ」とかそういう話も方向性が違います。
こう書けば、わかりやすいでしょうか。また、これは 【ブラウザ名】 の重大な脆弱性を指摘するようなものではなく、サードパーティ製のアプリケーションをインストールする際に留意するべき点を気付かせ、【ブラウザ名】 を「最も安全なブラウザ」として盲信しないよう注意を喚起するためである、としている。
どんなブラウザであれサードパーティを入れた時点で安全性から離れるという話です。もちろんIEだって、サードパーティによって情報漏洩させることは、出来ますよ。純粋に送信データ抜き取って、別途socket通信でやりとりしちゃってもいいですし。私が以前やった仕事の中では、IEが内部で持ってるインタフェイス探して、こねくり回したこともあります。
例えば……。HTTPSですら送信データが見れるieHTTPHeaderというアドオンがありますがこいつは、HTTPS通信ですら(試しに、ヤフオクに行って、ログインしてみました)
POST /config/login? HTTP/1.1...(省略).......(省略)....protoctl=&login=chiether882323&passwd=...(秘匿)...&x=36&y=23
こんな感じで見ることができます。これがもし悪意あるアドオンで。表に見えない部分で送信データを漏洩させていたらどうします?(悪いことの例に使って、ごめんね。Jonas Blunck.)
もっと言えばブラウザだけじゃなくて、ありとあらゆるアプリケーションが同じことが言えます。昔あった ProjectOrca(Dolphine)という「キーボード叩いた数を世界中で競う」というネタ企画でインストールするアプリケーションですら「変な通信してない? 大丈夫?」って、怖がる人がいれば「サイズ的に大丈夫だと思う」とか情報交流があったもんです。
ほらほら。そこの貴方。サードパーティーなツール使ってるから「やぁボクBOT!!」なんて喋ってますよ。ちゃんと中身確認しないから……。
コードをそのまんま使えるかどうかはともかく、最近のブラウザだと結構強い権限を持つ拡張機能が使えるものも多い(例: IE, Chrome, Firefox)わけですよ。ブラウザ拡張は実行ファイルと同等の権限を持つのに.exeファイルは無闇にクリックするな、という話ほどには「ブラウザの拡張に気をつけろ」って話は聞かない。
まだあんまり出ていない感はありますが、ブラウザ拡張入れる人が増えたら当然、マルウェアはブラウザ拡張をターゲットに狙ってくるでしょう。ブラウザ拡張でも.exeと同等のことができます。今のところあんまり脅威はありませんが、本質的に安全なんじゃなくて、本質的に危険だけど今は偶然安全なだけです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
ユーザのログイン情報を盗むInternet Explorerアドオンのコード (スコア:-1, 荒らし)
本家 /. 記事によると、ユーザーのログイン情報を盗む Internet Explorer 向けのエクステンションのコードが公開されたとのこと (作成者のブログ記事) 。
このエクステンションは IE のセキュリティ上の問題を実証するために開発されたとのことで、Web サービスへのログインの際に使われるフォームに入力された ID やパスワードを盗み、Ajax を使って特定のサイトに送信するというものだそうだ。ブログ上でコードの解説も行われている。
作成者である Foo Bar 氏が記事で補足しているが、このエクステンションは Internet Explorer のリポジトリ
Re:ユーザのログイン情報を盗むInternet Explorerアドオンのコード (スコア:0)
言いたいことが良く分からないんだが、
要するにこの「コード」はChromeに限らず、
そっくりそのまま他のブラウザのエクステンションに当てはまる(移植できる)って事?
そういう技術的な実証と言うか根拠が素人さんの俺には分からんのだが、
コピペだと信憑性0なのでもうちょっと技術的な解説を希望。
Re:ユーザのログイン情報を盗むInternet Explorerアドオンのコード (スコア:4, すばらしい洞察)
んー。というかこの話は、ブラウザの優劣を扱う話じゃありません。
だからこのコピペ自体が的外れですし。「出来るのかよ」とかそういう話も方向性が違います。
こう書けば、わかりやすいでしょうか。
また、これは 【ブラウザ名】 の重大な脆弱性を指摘するようなものではなく、サードパーティ製のアプリケーションをインストールする際に留意するべき点を気付かせ、【ブラウザ名】 を「最も安全なブラウザ」として盲信しないよう注意を喚起するためである、としている。
どんなブラウザであれサードパーティを入れた時点で安全性から離れるという話です。
もちろんIEだって、サードパーティによって情報漏洩させることは、出来ますよ。
純粋に送信データ抜き取って、別途socket通信でやりとりしちゃってもいいですし。
私が以前やった仕事の中では、IEが内部で持ってるインタフェイス探して、こねくり回したこともあります。
例えば……。HTTPSですら送信データが見れるieHTTPHeaderというアドオンがありますが
こいつは、HTTPS通信ですら(試しに、ヤフオクに行って、ログインしてみました)
POST /config/login? HTTP/1.1
...(省略)....
...(省略)....protoctl=&login=chiether882323&passwd=...(秘匿)...&x=36&y=23
こんな感じで見ることができます。
これがもし悪意あるアドオンで。表に見えない部分で送信データを漏洩させていたらどうします?
(悪いことの例に使って、ごめんね。Jonas Blunck.)
もっと言えばブラウザだけじゃなくて、ありとあらゆるアプリケーションが同じことが言えます。
昔あった ProjectOrca(Dolphine)という「キーボード叩いた数を世界中で競う」というネタ企画でインストールするアプリケーションですら「変な通信してない? 大丈夫?」って、怖がる人がいれば「サイズ的に大丈夫だと思う」とか情報交流があったもんです。
ほらほら。そこの貴方。
サードパーティーなツール使ってるから「やぁボクBOT!!」なんて喋ってますよ。
ちゃんと中身確認しないから……。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re:ユーザのログイン情報を盗むInternet Explorerアドオンのコード (スコア:3, 参考になる)
コードをそのまんま使えるかどうかはともかく、最近のブラウザだと結構強い権限を持つ拡張機能が使えるものも多い(例: IE, Chrome, Firefox)わけですよ。
ブラウザ拡張は実行ファイルと同等の権限を持つのに.exeファイルは無闇にクリックするな、という話ほどには「ブラウザの拡張に気をつけろ」って話は聞かない。
まだあんまり出ていない感はありますが、ブラウザ拡張入れる人が増えたら当然、マルウェアはブラウザ拡張をターゲットに狙ってくるでしょう。
ブラウザ拡張でも.exeと同等のことができます。
今のところあんまり脅威はありませんが、本質的に安全なんじゃなくて、本質的に危険だけど今は偶然安全なだけです。
1を聞いて0を知れ!