パスワードを忘れた? アカウント作成
13576107 story
Firefox

Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 9

ストーリー by headless
阻止 部門より
MozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿The Registerの記事Bleeping Computerの記事)。

Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。

FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。

※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。

関連リンク

  • もうさ (スコア:2, 興味深い)

    by Anonymous Coward on 2018年04月15日 19時46分 (#3393840)

    ファーストパーティ以外はデフォルトでブロックにしようぜ
    Chromeが頑なにやらないのは
    AnalyticsやAdwordsが役に立たなくなるからで
    Mozillaは知ったこっちゃないじゃない
    危険を許容してまで広告に貢献する必要ないのですよ
    Google資本断たれて干からびるのが怖いんかな

    # adblock系アドオンでサードパーティ弾いてるからぶっちゃけどうでもいいけどね

    ここに返信
    • by Anonymous Coward on 2018年04月15日 22時11分 (#3393884)

      わたしも uMatrix [github.com] というアクセス先ごとに許可/拒否を切り替えられるアドオン使っているのですが
      これ使っていると,ふだん訪れているサイトでどれだけサードパーティーのリソースを読み込んでいるかわかるので驚きますね
      (おなじ作者のuBlock Originにも同等の機能があるのかな?)

      ファーストパーティーだけで見れるサイトというのは,やはり少なくて画像とかスクリプトとかは基本的に別ドメイン(CDNとかS3とか)からの配信です
      言い換えると,各ファーストパーティーのサイトごとに許可するCDNのホワイトリストを持てばしあわせになれます
      で,このホワイトリスト的な機能を実現するアドオンがuMatrixです :)

      • by Anonymous Coward

        CDNの概念が移り変わってきてんのか?
        用語転がしを旨とする邪悪なmicrosoftが自称CDNな3rdリソースサーバを建てたりしてるせいなのかな

    • by Anonymous Coward

      エコシステムを切るのは簡単じゃないですね。他に収入があるわけじゃなし。

      • by Anonymous Coward

        エコシステムを切るのは簡単じゃないですね。他に収入があるわけじゃなし。

        ドネイトすればいいのですよ
        資産たる旧アドオンを切り捨てたブラウザの開発に

        # Do nate 尻をする 尻を拭く なんちって

    • by Anonymous Coward

      これだけ広くCDNが使われるようになってからでは手遅れ

      • by Anonymous Coward

        なんか勘違いしてんのかもしれんけど
        むしろCDNだからこそ
        DNSジャックだけでなくディレクトリの仮想化やジャンクション処理もCDNで請け負う様になれば
        広告パラメータを突っ込めるディレクトリを用意登録した1stからの配信に見せかけることも可能じゃないかな

        • by Anonymous Coward

          広告が勝手に挟まるCDNか
          その発想はなかった

  • by Anonymous Coward on 2018年04月15日 23時07分 (#3393891)

    HTTPSの中にHTTPの画像が混じると怒られるんで、とっくにFTPなんてダメなんだと思ってた。

    ここに返信
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...