フィードリーダーの脆弱性まわりのこと

2007-01-25 14:48 | WriteBacks (10) |
最近、FreshReaderに脆弱性があったということで、いくつか調べて直したり、赤松さんと連絡取り合ったり、それからはてな使ってないのにユーザー様とか書かれて不愉快な気分になったりしてたんですが。

この記事はひどすぎると思う。
フレッシュリーダーの脆弱性に関連してSage++のこと

そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。XMLHttpRequestやIFRAMEでローカルファイルの内容を読み取れるからです。Sageに脆弱性があるということは、あらゆる個人情報の漏洩につながります。「開発者の個人情報を晒すリスクが云々」というのは、個人的には分からなくもないですが、ユーザーの個人情報を危険に晒していることを認識すべきです。

開発者本人が過去に書いているので、危険性の大きさは十分に認識できているはずです。「脆弱性がある」と公表してしまった時点で、勘の良い人ならどうやって突破するのかぐらいすぐに分かります。

Sageは危険です。はっきり危険だと言うべきです。「未修正の脆弱性があるから」というのはもちろんですが、脆弱性があった場合の影響範囲がでかいので危険だと考えるべきです。Sageのユーザーに悪意のあるフィードを購読させる、という手間がかかるので、起こりうる確率としては低いでしょうが、攻撃に成功すれば攻撃者はローカルディスクの全内容を取得できます。


IEの場合、独自機能でsaved from urlというのがあり、HTMLファイルの先頭にこのように記述することで、
<!-- saved from url=(0014)about:internet -->

参考: http://support.microsoft.com/kb/883866/ja

任意のスクリプトが実行されたとしてもインターネットゾーンで実行されるため、ローカルファイルは読めなくなります。ウェブページを保存する際にこの機能が使われていて、ローカルファイルを開いてもインターネットゾーンのセキュリティポリシーを適用するようになっています。

IEではこのあたりのセキュリティポリシーがしっかりしているのですが、他のブラウザはこのような仕組みが実装されていないようです(俺が知らないだけかもしれない)。この記述があったとしても、他のレンダリングエンジンを使って開いた場合は単なるコメントとして無視されてしまうので、ローカルファイル読み放題です。

Firefox拡張機能のScrapBookではページ取り込みの際にscriptタグやらonloadやら綺麗に取り除いてくれたりするのですが、Firefox標準のページ保存だとそういうことはやってくれません。そもそも拡張機能側の責任でそういうことをやらなければいけないというのが(中略)じゃねーのって気がするので、Firefoxとかインターネットの使用とかを中止した方がいいんじゃないかと思います。

Edit

WriteBacks

>saved from urlというのがあり

正式名称は「MOTW」と言うらしいよ。

Mark of the Web
http://msdn.microsoft.com/library/default.asp?url=/workshop/author/dhtml/overview/motw.asp

Posted by Bar at 2007/01/25 (Thu) 17:00:13

ローカルディスク上のHTMLファイルをブラウザで開くと超危険

最速インターフェース研究会 :: フィードリーダーの脆弱性まわりのこと

あー、実は良く知らなかったのだけれど、ローカル・ディスク上の HTML ファイルから XMLHttpRequest 飛ばすと、任意のサイトに継がってしまうらしい。当然、ローカル・ディスクの内容は全部見れるの....

Posted by へ〜たのめも at 2007/01/26 (Fri) 02:16:30

しかし

IEはXMLHttpRequestでローカルにはアクセスできませんが、インターネット上の任意のサイトにアクセスできる気配です。
(スクリプトの実行を許可するというステップは必要ですが、)

未検証なので当方の環境に依存するかもしれませんが、IEのセキュリティポリシーがしっかりしているかというと疑問です。

Posted by trickstar_os at 2007/01/26 (Fri) 11:18:14

前はsageでRSS読んでたなー

最速インターフェース研究会 :: フィードリーダーの脆弱性まわりのことそもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。 何でもかんでもRSSを喰わせてブラウザで見てる人は危ないよって話。 怖いですね。...

Posted by ぼうず日記 at 2007/01/26 (Fri) 12:57:45

あと、


がなくてもXMLHttpRequestによるローカルファイルへのアクセスは制限されているみたいです。

エントリで紹介しているKBは、
>この資料は Microsoft Access データベース (.mdb)、および Microsoft Access プロジェクト (.adp) について記述したものです。
だから、ちょっと違う話なんじゃないかと。


どうでもよくないけど、はてな使ってないといいつつエントリのはてブ件数を表示している件。

Posted by trickstar_os at 2007/01/26 (Fri) 13:30:47

あと、


がなくてもXMLHttpRequestによるローカルファイルへのアクセスは制限されているみたいです。

エントリで紹介しているKBは、
>この資料は Microsoft Access データベース (.mdb)、および Microsoft Access プロジェクト (.adp) について記述したものです。
だから、ちょっと違う話なんじゃないかと。


どうでもよくないけど、はてな使ってないといいつつエントリのはてブ件数を表示している件。

Posted by trickstar_os at 2007/01/26 (Fri) 13:46:02

フレッシュ リーダー

●社内ブログ フレッシュリーダー
 
ネット・ブログの普及に伴い、情報化が進み、社外のニュースやブログをRSSリーダーを使って効率的に収集することは、既に一般的な情報収集の手段となった。

しかし、情報収集は社外だけではない。

社内におけるブログや掲示板にも、必要とすべき情報が集積していると考えられる。フレッシュリーダーは、サーバーインストール型のRSSリーダーのため、社内で分散されている情報も購読登録することが可能である。

アドレスを登録さえすれば、その情報を自動にRSS化し購読することができるので、難しい設定などは必要ない。




Posted by フレッシュ リーダーで効率100倍 at 2007/01/27 (Sat) 23:36:18

ブラウザのサイトポリシー(IEのセキュリティゾーン)

始めて書き込みします。
IEのセキュリティゾーンに相当する機能についてですが,Firefoxには機能自体はすでに実装されているようですよ。ただ,設定するUIが未実装のため“まったく”表に出ていないようです。そんなわけで,PiroさんがUIを実装する拡張機能を公開しておられます。

Policy Manager @outsider reflex
http://piro.sakura.ne.jp/xul/_policymanager.html

この書き込みをしながら,自分が件の拡張機能を使っていないため詳しく(IEのセキュリティゾーン機能に対し,サイトポリシーがどの程度代替となるか)はわかりませんが,ご参考までに書き込みました。

Posted by アイヴァーン at 2007/01/28 (Sun) 22:13:45

副収入総合情報

副収入総合情報。
お小遣い、内職、サイドビジネス総合情報!

Posted by 副収入総合情報 at 2007/02/07 (Wed) 22:05:59

Posted by at 2007/04/11 (Wed) 08:38:12
TrackBack ping me at
http://la.ma.la/blog/diary_200701251355.trackback
Post a comment

writeback message: Ready to post a comment.







spam yoke. nanimo ireruna.