パスワードを忘れた? アカウント作成
13576107 story
Firefox

Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 21

ストーリー by headless
阻止 部門より
MozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿The Registerの記事Bleeping Computerの記事)。

Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。

FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。

※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • もうさ (スコア:3, 興味深い)

    by Anonymous Coward on 2018年04月15日 19時46分 (#3393840)

    ファーストパーティ以外はデフォルトでブロックにしようぜ
    Chromeが頑なにやらないのは
    AnalyticsやAdwordsが役に立たなくなるからで
    Mozillaは知ったこっちゃないじゃない
    危険を許容してまで広告に貢献する必要ないのですよ
    Google資本断たれて干からびるのが怖いんかな

    # adblock系アドオンでサードパーティ弾いてるからぶっちゃけどうでもいいけどね

    • Re:もうさ (スコア:3, 参考になる)

      by Anonymous Coward on 2018年04月15日 22時11分 (#3393884)

      わたしも uMatrix [github.com] というアクセス先ごとに許可/拒否を切り替えられるアドオン使っているのですが
      これ使っていると,ふだん訪れているサイトでどれだけサードパーティーのリソースを読み込んでいるかわかるので驚きますね
      (おなじ作者のuBlock Originにも同等の機能があるのかな?)

      ファーストパーティーだけで見れるサイトというのは,やはり少なくて画像とかスクリプトとかは基本的に別ドメイン(CDNとかS3とか)からの配信です
      言い換えると,各ファーストパーティーのサイトごとに許可するCDNのホワイトリストを持てばしあわせになれます
      で,このホワイトリスト的な機能を実現するアドオンがuMatrixです :)

      親コメント
      • by Anonymous Coward

        CDNの概念が移り変わってきてんのか?
        用語転がしを旨とする邪悪なmicrosoftが自称CDNな3rdリソースサーバを建てたりしてるせいなのかな

        • by Anonymous Coward

          1ドメイン6接続までって制約があるから、なるべく早くリソース読み込ませようとしたいサイト側が複数ドメインにリソース分散させるためにCDN使ってるんじゃないの
          HTTP/2が普及するまではこのままだと思うが

        • by Anonymous Coward

          もはやMicrosoftにそんな影響力ないんだよなあ。CDNがそういうものだってことでしょ。

      • by Anonymous Coward

        uBlock Originは広告ブロッカーなので似たようなことができるけど用途が違う
        HTMLの要素とかキーワードで除去してくれるやつなのでAdblock系のアドオンと思えば良い

        両方いれてるけど、ぶっちゃけuMatrixでサードへのアクセス制御を自分でやってるなら要らない
        広告は大概 ads.example.com とかってホスト名見れば一目瞭然なのでフィルタも楽だしね

        • by Anonymous Coward

          NoScript使ってるけどマジ許可がしんどい。何度心が折れそうになったことか。

    • by Anonymous Coward

      エコシステムを切るのは簡単じゃないですね。他に収入があるわけじゃなし。

      • by Anonymous Coward

        エコシステムを切るのは簡単じゃないですね。他に収入があるわけじゃなし。

        ドネイトすればいいのですよ
        資産たる旧アドオンを切り捨てたブラウザの開発に

        # Do nate 尻をする 尻を拭く なんちって

    • by Anonymous Coward

      これだけ広くCDNが使われるようになってからでは手遅れ

      • by Anonymous Coward

        なんか勘違いしてんのかもしれんけど
        むしろCDNだからこそ
        DNSジャックだけでなくディレクトリの仮想化やジャンクション処理もCDNで請け負う様になれば
        広告パラメータを突っ込めるディレクトリを用意登録した1stからの配信に見せかけることも可能じゃないかな

        • by Anonymous Coward

          広告が勝手に挟まるCDNか
          その発想はなかった

          • by Anonymous Coward on 2018年04月16日 18時32分 (#3394141)

            CDNって元のサイトが使っている証明書とは関係なく、
            別の証明書を使って通信してる時があるよね。
            秘密鍵漏洩事件があってから、いくつか無効にしたんだけど
            これがトップサイトじゃないと警告が無くって、
            一時期、元のサイトが正しく繋がらなかった時があった。
            内や別内のリンク当たりが怪しいと思い調べつくした結果、
            CDNが使ってるJSライブラリの証明書だったことが判り一苦労させられたわ。

            親コメント
            • by Anonymous Coward

              SCRIPT内や別IFAME内のリンク、ね

          • by Anonymous Coward

            つ [サーバー側広告挿入 [google.co.jp](Server-Side Ad Insertion)]

  • by Anonymous Coward on 2018年04月15日 23時07分 (#3393891)

    HTTPSの中にHTTPの画像が混じると怒られるんで、とっくにFTPなんてダメなんだと思ってた。

    • 怒られる(保護通信表示が無効になる)のとブロックされるのでは雲泥の差があるでしょう

      親コメント
      • by Anonymous Coward

        今のFirefoxだと、HTTPS中にHTTPのものがあっても、もう読み込まないみたいね。

        • by Anonymous Coward

          デマこくなよ
          security.mixed_content.block_display_contentはfalseがデフォルトだ

          • by Anonymous Coward

            混在コンテンツ (Mixed Contents) 関連の設定は、以下がデフォルトです。
            画像, 音声, 動画 といった静的コンテンツは "block_display_content" が現時点ではfalseなので引き続き読み込まれますが、スクリプト, スタイルシート, プラグインコンテンツ, インラインフレーム, ウェブフォント, WebSocketsといったコンテンツは "block_actice_content" がtrueなので、 23以降では読み込まれません [fxsitecompat.com]。
            security.mixed_content.block_active_content;true
            security.mixed_content.block_displa

  • あれバグだろ。言い逃れすんじゃねーよ

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...