ブラウザのパスワード自動入力機能の脆弱性

昨夜MozillaのBugzillaには垂れ込んだので、（隙を見て）しっかり書いておく。

前のエントリで書いたように、クリックジャッキング攻撃では、ブラウザグローバルに保存されている情報の一つである、パスワード自動入力データベースが利用されうることを書いた。
自分は勝手にautofilljackingまたはpasswordjackingと読んでいる。

これは根本的にブラウザのセキュリティ脆弱性だ。
ロケーションバー偽装に対してHTTPSの扱いが大きく変わったように（緑色でドメイン保有者が強調され、ドメイン名が太字で明確化される）ブラウザのパスワード自動入力機能をユーザーが意図せず利用されることはブラウザ側で防がなければならない。

ごく一部のブラウザ（Operaの幾つかのバージョン、今は使っていないので分からないが）は、ユーザーが自動入力対象フォームをクリックしたり、特定のキーボードショートカット入力によって自動入力が有効になるよう実装されていた。これは今回指摘したタイプのクリックジャッキングを防ぐことが出来る。ただし根本的解決ではない。
この自動入力機能の脆弱性を完全に排除するためには、ロケーションバー偽装と同様、ユーザーが認識しているウェブサイトと、自動入力フォームのSAMEORIGINを保証する必要がある。
例えば、ロケーションバーのドメインと、自動入力フォームのドメインが同じ事を検証し、そうでなければ自動入力を無効にすることで、この攻撃手法に類するすべての攻撃を排除できる。

この対策は（自動入力はそもドメインごと管理されるのだから）とても簡単のはずだが、少なくともChromeとFirefoxはチェックされていなかった。

サイト側に対策の意義が殆ど無い以上、ユーザーに近いブラウザには素早い対応を望む。