Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 9
ストーリー by headless
阻止 部門より
阻止 部門より
MozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿、
The Registerの記事、
Bleeping Computerの記事)。
Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。
FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。
※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。
Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。
FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。
※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。
もうさ (スコア:2, 興味深い)
ファーストパーティ以外はデフォルトでブロックにしようぜ
Chromeが頑なにやらないのは
AnalyticsやAdwordsが役に立たなくなるからで
Mozillaは知ったこっちゃないじゃない
危険を許容してまで広告に貢献する必要ないのですよ
Google資本断たれて干からびるのが怖いんかな
# adblock系アドオンでサードパーティ弾いてるからぶっちゃけどうでもいいけどね
Re:もうさ (スコア:1)
わたしも uMatrix [github.com] というアクセス先ごとに許可/拒否を切り替えられるアドオン使っているのですが
これ使っていると,ふだん訪れているサイトでどれだけサードパーティーのリソースを読み込んでいるかわかるので驚きますね
(おなじ作者のuBlock Originにも同等の機能があるのかな?)
ファーストパーティーだけで見れるサイトというのは,やはり少なくて画像とかスクリプトとかは基本的に別ドメイン(CDNとかS3とか)からの配信です
言い換えると,各ファーストパーティーのサイトごとに許可するCDNのホワイトリストを持てばしあわせになれます
で,このホワイトリスト的な機能を実現するアドオンがuMatrixです :)
Re: (スコア:0)
CDNの概念が移り変わってきてんのか?
用語転がしを旨とする邪悪なmicrosoftが自称CDNな3rdリソースサーバを建てたりしてるせいなのかな
Re: (スコア:0)
エコシステムを切るのは簡単じゃないですね。他に収入があるわけじゃなし。
Re: (スコア:0)
エコシステムを切るのは簡単じゃないですね。他に収入があるわけじゃなし。
ドネイトすればいいのですよ
資産たる旧アドオンを切り捨てたブラウザの開発に
# Do nate 尻をする 尻を拭く なんちって
Re: (スコア:0)
これだけ広くCDNが使われるようになってからでは手遅れ
Re: (スコア:0)
なんか勘違いしてんのかもしれんけど
むしろCDNだからこそ
DNSジャックだけでなくディレクトリの仮想化やジャンクション処理もCDNで請け負う様になれば
広告パラメータを突っ込めるディレクトリを用意登録した1stからの配信に見せかけることも可能じゃないかな
Re: (スコア:0)
広告が勝手に挟まるCDNか
その発想はなかった
HTTPSも?HTTPじゃなくて? (スコア:0)
HTTPSの中にHTTPの画像が混じると怒られるんで、とっくにFTPなんてダメなんだと思ってた。