[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0579] Re: Safari ：リンクの偽装脆弱性 ?

To: harden-mac@xxxxxxxxxx
Subject: [harden-mac:0579] Re: Safari ：リンクの偽装脆弱性 ?
From: ISHIKAWA Yasuhisa <vm@xxxxxxxxxxxxxxxxxx>
Date: Tue, 16 Dec 2003 02:29:15 +0900

石川です。

SHINODA Nobuo <shinoda@xxxxxxx> wrote:

> 篠田です。

検証有難うございます。大幅な省略失礼します。

> Security-Update-2003-12-05 の前後は Safari 1.0 でしか試せていませんが，Safari
> 1.1. でのみステータスバーの fake が効かないのは WebCore あたりの仕様変更では
> ないかと思います。

私も「何でv85.6とv100.1でステータスバーの挙動が違うのかなぁ」と思っていた
のですが。(^^;;
# http://d.hatena.ne.jp/vm_converter/20031212#p1

確かに仕様変更と考えるとすんなり飲み込めるような。

# どうですかね＞しろやまさん　とかここで振ってみたり。(^^;;

> 結局， Safari の場合，
> ・ステータスバーはあてにならない。
> ・non Javascript 版でもアドレスバー表示に注意していれば，罠に引っかからない
> ・Javascript 版ではそもそもリンク先に飛ばない
> ということでしょうか。

私も同じ認識です。
「Safariでは結局はURLを注意して見る」ことだと思ってます。

# ただ、URL欄から溢れるくらい長くて且つワケワカメな文字列だらけのURLだと
# 確認が面倒だとは思いますが。
# まぁ、そんなトコには行かないって方向で...。

Safari 1.1.1 (v100.1)で、且つ、JavaScriptをオフにして運用しているのであれば
ステータスバーの表示も信用しても良いかな...と一瞬思いましたが、あまり
信用するのもアレかなと思ってます。

JavaScript版が機能しないのは、単にそのテストページのスクリプトがSafariに
効かないだけで他に方法があるのかどうか...と思っているのですが、そこまで
検証する余裕も知識も...といった所です。(^^;;


また、各所既報ですが、Microsoftからこの件への記事が出てますね。

○Steps that you can take to help identify and to help protect yourself
　from deceptive (spoofed) Web sites（Microsoft）
http://support.microsoft.com/?id=833786

○Take Steps to Avoid Getting Tricked by Spoof Websites（Microsoft）
http://www.microsoft.com/security/incident/spoof.asp

○上記の日本語訳
　成りすましたウェブサイトに騙されない方法について（マイクロソフト）
http://www.microsoft.com/japan/security/incident/spoof.mspx


明日あたりに、

○STUDIO KAMADA さんの日記の「アドレス確認」ボタン
http://homepage2.nifty.com/m_kamada/di200312.htm#12

や、上記Microsoft記事中のJavaScriptなどをSafariで検証してみようかと
思っています。


P.S.
hoshikuzu|stardustの書斎 さん<http://d.hatena.ne.jp/hoshikuzu/>
によれば、既にこの件を悪用している人がいる
http://d.hatena.ne.jp/hoshikuzu/20031211#p2
などといった話も出てますね...。
Yahoo! Mailアカウントが取られてしまう例とかも載ってますが...。
http://d.hatena.ne.jp/hoshikuzu/20031210#p9

Mozilla 1.6 Beta用のステータスバー偽装対策のパッチが出てるとかも。
http://d.hatena.ne.jp/hoshikuzu/20031213#p1
コメントにあるFlashへのリンク埋め込みがかなり怖いんですが...。

正直、かなりマズイ事態だと思ってます。

-- 
石川 泰久／vm_converter
vm@xxxxxxxxxxxxxxxxxx


--[PR]------------------------------------------------------------------
　☆★★☆★☆★☆ 超人気！デザイン家電の最新情報が満載★☆★☆★☆★☆
　プラズマテレビ、デジカメ、ホームシアターetc　価格情報＆売れ筋を随時更新
　　　　　　　　　↓↓↓↓↓　詳しくはこちら　↓↓↓↓↓
　　　　　　 http://ad.freeml.com/cgi-bin/ad.cgi?id=cvEcw
　☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp

Follow-Ups:
- [harden-mac:0580] 自己レス（was Re: Safari ：リンクの偽装脆弱性 ?)
  - From: ISHIKAWA Yasuhisa

References:
- [harden-mac:0577] Re: Safari：リンクの偽装脆弱性 ?
  - From: SHINODA Nobuo

Prev by Date: [harden-mac:0578] Re: Safari ：リンクの偽装脆弱性 ?
Next by Date: [harden-mac:0580] 自己レス（was Re: Safari ：リンクの偽装脆弱性 ?)
Previous by thread: [harden-mac:0577] Re: Safari：リンクの偽装脆弱性 ?
Next by thread: [harden-mac:0580] 自己レス（was Re: Safari ：リンクの偽装脆弱性 ?)
Index(es):
- Date
- Thread