Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 21
ストーリー by headless
阻止 部門より
阻止 部門より
MozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿、
The Registerの記事、
Bleeping Computerの記事)。
Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。
FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。
※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。
Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。
FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。
※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。
もうさ (スコア:3, 興味深い)
ファーストパーティ以外はデフォルトでブロックにしようぜ
Chromeが頑なにやらないのは
AnalyticsやAdwordsが役に立たなくなるからで
Mozillaは知ったこっちゃないじゃない
危険を許容してまで広告に貢献する必要ないのですよ
Google資本断たれて干からびるのが怖いんかな
# adblock系アドオンでサードパーティ弾いてるからぶっちゃけどうでもいいけどね
Re:もうさ (スコア:3, 参考になる)
わたしも uMatrix [github.com] というアクセス先ごとに許可/拒否を切り替えられるアドオン使っているのですが
これ使っていると,ふだん訪れているサイトでどれだけサードパーティーのリソースを読み込んでいるかわかるので驚きますね
(おなじ作者のuBlock Originにも同等の機能があるのかな?)
ファーストパーティーだけで見れるサイトというのは,やはり少なくて画像とかスクリプトとかは基本的に別ドメイン(CDNとかS3とか)からの配信です
言い換えると,各ファーストパーティーのサイトごとに許可するCDNのホワイトリストを持てばしあわせになれます
で,このホワイトリスト的な機能を実現するアドオンがuMatrixです :)
Re: (スコア:0)
CDNの概念が移り変わってきてんのか?
用語転がしを旨とする邪悪なmicrosoftが自称CDNな3rdリソースサーバを建てたりしてるせいなのかな
Re: (スコア:0)
1ドメイン6接続までって制約があるから、なるべく早くリソース読み込ませようとしたいサイト側が複数ドメインにリソース分散させるためにCDN使ってるんじゃないの
HTTP/2が普及するまではこのままだと思うが
Re: (スコア:0)
もはやMicrosoftにそんな影響力ないんだよなあ。CDNがそういうものだってことでしょ。
Re: (スコア:0)
uBlock Originは広告ブロッカーなので似たようなことができるけど用途が違う
HTMLの要素とかキーワードで除去してくれるやつなのでAdblock系のアドオンと思えば良い
両方いれてるけど、ぶっちゃけuMatrixでサードへのアクセス制御を自分でやってるなら要らない
広告は大概 ads.example.com とかってホスト名見れば一目瞭然なのでフィルタも楽だしね
Re: (スコア:0)
NoScript使ってるけどマジ許可がしんどい。何度心が折れそうになったことか。
Re: (スコア:0)
エコシステムを切るのは簡単じゃないですね。他に収入があるわけじゃなし。
Re: (スコア:0)
エコシステムを切るのは簡単じゃないですね。他に収入があるわけじゃなし。
ドネイトすればいいのですよ
資産たる旧アドオンを切り捨てたブラウザの開発に
# Do nate 尻をする 尻を拭く なんちって
Re: (スコア:0)
これだけ広くCDNが使われるようになってからでは手遅れ
Re: (スコア:0)
なんか勘違いしてんのかもしれんけど
むしろCDNだからこそ
DNSジャックだけでなくディレクトリの仮想化やジャンクション処理もCDNで請け負う様になれば
広告パラメータを突っ込めるディレクトリを用意登録した1stからの配信に見せかけることも可能じゃないかな
Re: (スコア:0)
広告が勝手に挟まるCDNか
その発想はなかった
Re:もうさ (スコア:1)
CDNって元のサイトが使っている証明書とは関係なく、
別の証明書を使って通信してる時があるよね。
秘密鍵漏洩事件があってから、いくつか無効にしたんだけど
これがトップサイトじゃないと警告が無くって、
一時期、元のサイトが正しく繋がらなかった時があった。
内や別内のリンク当たりが怪しいと思い調べつくした結果、
CDNが使ってるJSライブラリの証明書だったことが判り一苦労させられたわ。
Re: (スコア:0)
SCRIPT内や別IFAME内のリンク、ね
Re: (スコア:0)
つ [サーバー側広告挿入 [google.co.jp](Server-Side Ad Insertion)]
HTTPSも?HTTPじゃなくて? (スコア:1)
HTTPSの中にHTTPの画像が混じると怒られるんで、とっくにFTPなんてダメなんだと思ってた。
Re:HTTPSも?HTTPじゃなくて? (スコア:2)
怒られる(保護通信表示が無効になる)のとブロックされるのでは雲泥の差があるでしょう
Re: (スコア:0)
今のFirefoxだと、HTTPS中にHTTPのものがあっても、もう読み込まないみたいね。
Re: (スコア:0)
デマこくなよ
security.mixed_content.block_display_contentはfalseがデフォルトだ
Re: (スコア:0)
混在コンテンツ (Mixed Contents) 関連の設定は、以下がデフォルトです。
画像, 音声, 動画 といった静的コンテンツは "block_display_content" が現時点ではfalseなので引き続き読み込まれますが、スクリプト, スタイルシート, プラグインコンテンツ, インラインフレーム, ウェブフォント, WebSocketsといったコンテンツは "block_actice_content" がtrueなので、 23以降では読み込まれません [fxsitecompat.com]。
security.mixed_content.block_active_content;true
security.mixed_content.block_displa
それよりロケーションデータベースに起因するプチフリ直せよ (スコア:0)
あれバグだろ。言い逃れすんじゃねーよ