ArtSaltのサイドストーリー

音楽、フリーウェア、WEBサービス、食べものなどに関する日記。トラックバック、コメント歓迎。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

マスターパスワードを要求しているのは本当にFirefoxか

マスターパスワードぶっこ抜きサイト?

先日、Firefox3.0.8が公開されていたのでFirefoxをアップグレードした。

  1. このときオイラは1個のページだけ (Google Reader) を開いていた。つまり google.com にログインしていた。
  2. "Restart Firefox" の指示に従い、再起動した。
  3. 再起動後、ふたつのページが開かれた。1個はGoogleの認証ページ。もう1個は、正確な文面は忘れたけど、"Thanks for upgrading Firefox" とMozillaがお礼を言っているページ。
  4. オイラはマスターパスワードを使っているので、"Please enter the master password for the Software Security Device." とFirefoxに言われた。
  5. しかしこのときGoogleのページはバックグラウンドになっていて、フォアグラウンドにあるのはMozillaのページだった。
  6. 「なぜログインする必要のない mozilla.com でマスターパスワードの入力が求められるんだろう?」と一瞬勘違いしてしまった。

ふと思った。悪意のあるスクリプトでブラウザのマスターパスワード入力ダイアログボックスを偽装できるんじゃなかろうか。ようするにマスターパスワードを送信させるスクリプト。

FirefoxとOperaでは、マスターパスワード入力ダイアログボックスの表示のタイミングが違う

Operaの場合、"To use a client certificate, Opera requires your master password." っていうメッセージが出てくる。これを表示しているのが本物のOperaであることは論理的に証明できる。なんでかっていうと、Wand というアクションを実行しないとマスターパスワード入力ダイアログボックスは現れないから。具体的に言うと、Ctrl + Enter (あるいは Wand というアクションを実行するボタンのクリック、マウスジェスチャーなど)を押さないといけない。ゆえに、間違いなくOperaの出しているダイアログである、とわかる。

Opera認証管理スクリーンショット

他方、Firefoxの場合、認証のページが開かれると自動的にマスターパスワード入力ダイアログボックスが現れる。これをポップアップしているのが悪意のあるスクリプトを埋め込んだWebページ側なのか、ブラウザ側なのか、オイラみたいな万年インターネット初心者には見分けがつかない。

さらに言わせてもらうと、下のスクリーンショットに示すように、高速キーボード操作や高速マウスジェスチャーを駆使して複数のページ(タブ)を表示したとき、認証不要なページにマスターパスワード入力ダイアログボックスが現れる事例がある。あるいは複数のページを開いた状態のセッションを保存して再起動したときもこういう事態が起きうる。実に紛らわしい。

Firefox認証管理スクリーンショット

もじら組のフォーラムで質問した

  1. 2ちゃんねるの初心者板で質問した。「ウィンドウのハンドルを調べろ」というレスをもらったが、「ウィンドウのハンドル」という専門用語の意味がわからない。
  2. もじら組のフォーラムで質問し、返事をいただいた。

むり の投稿 :2009/03/31(Tue) 21:57:22
(環境: WinXP SP3/Other)

ダイアログのタイトルバーに urlが無ければ 正当なダイアログです。
ダイアログのタイトルバーに urlがある場合は閲覧ページのJavascriptによるダイアログです。
何れもFirefoxが出しているものです。

Flash等のプラグインが出力するダイアログでは 見え方を全く同じにできるためその場合見た目で偽装を判断することは困難でしょう。

プロセス上のハンドルを探ることで可能とは思われる。

Mozilla-gumi Forum [One Topic All View / マスターパスワードのダイアログボックス / Page: 0]

結論、あるいは感想

  • パスワード認証のWebページを開いたら無条件でマスターパスワード入力を促すのではなく、FirefoxがFirefox使用者から何らかのアクション(Operaで言う Wand)を受け取ったときに入力を促す方法のほうが確実だ。Firefoxのファンとしては甚だ不本意ではあるが、Operaの真似をしてほしい。
  • っていうか、ブラウザにパスワードを保存すること自体が常に危険と隣り合わせであることをそろそろ悟れよ、自分。

関連

Google
WWW ArtSaltのサイドストーリー
Bugzillaに昔から登録されてるバグのようですね。2001-09-25報告とあります。
Bug 101611 - Web sites can easily spoof the Master Password dialog
https://bugzilla.mozilla.org/show_bug.cgi?id=101611
(付属のテストケースも参照)

マスターパスワード「だけ」を盗んでもすぐには使い道がないだろうということで、
ふつうのパスワードを盗まれないようにする対策を先行させてきたようです。
かなり議論は重ねられているものの、偽装防止に役立つUIその他をFirefoxにどう
実装するか、結論は出ていません。
2009/04/04(土) 15:38:12 | URL | Rockridge #-[edit]
http://www.kuix.de/misc/test31/
タイトルバーを見れば識別できるとはいえ、困りますね、こういうことをやられると。

調べたら、2001年というとFirebird, Phoenix以前ですね。情報ありがとうございます。
2009/04/04(土) 18:25:28 | URL | ArtSalt(管理人) #FMNFHjxY[edit]
Web site (optional)
Comment - Need to type CAPTCHA, an image of distorted Japanese Hiragana or Katakana afterward.
Password - Not allowed to modify your comment later if password not entered.
On secret mode?
 

http://art2006salt.blog60.fc2.com/tb.php/978-27606742

このブログについて

最近のエントリ

カテゴリー
あわせて読みたいブログ

あわせて読みたい

最近のコメント
Internet Explorer
よりも便利です

Opera 9 - Always secure with Opera Firefoxをダウンロード!!

相互リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。