2012年08月29日

ブラウザのパスワード自動入力機能の脆弱性

昨夜MozillaのBugzillaには垂れ込んだので、(隙を見て)しっかり書いておく。

前のエントリで書いたように、クリックジャッキング攻撃では、ブラウザグローバルに保存されている情報の一つである、パスワード自動入力データベースが利用されうることを書いた。
自分は勝手にautofilljackingまたはpasswordjackingと読んでいる。

これは根本的にブラウザのセキュリティ脆弱性だ。
ロケーションバー偽装に対してHTTPSの扱いが大きく変わったように(緑色でドメイン保有者が強調され、ドメイン名が太字で明確化される)ブラウザのパスワード自動入力機能をユーザーが意図せず利用されることはブラウザ側で防がなければならない。

ごく一部のブラウザ(Operaの幾つかのバージョン、今は使っていないので分からないが)は、ユーザーが自動入力対象フォームをクリックしたり、特定のキーボードショートカット入力によって自動入力が有効になるよう実装されていた。これは今回指摘したタイプのクリックジャッキングを防ぐことが出来る。ただし根本的解決ではない。
この自動入力機能の脆弱性を完全に排除するためには、ロケーションバー偽装と同様、ユーザーが認識しているウェブサイトと、自動入力フォームのSAMEORIGINを保証する必要がある。
例えば、ロケーションバーのドメインと、自動入力フォームのドメインが同じ事を検証し、そうでなければ自動入力を無効にすることで、この攻撃手法に類するすべての攻撃を排除できる。

この対策は(自動入力はそもドメインごと管理されるのだから)とても簡単のはずだが、少なくともChromeとFirefoxはチェックされていなかった。

サイト側に対策の意義が殆ど無い以上、ユーザーに近いブラウザには素早い対応を望む。
posted by ko-zu at 11:16| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。