水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2011年のえび日記 > 2011年11月 > 2011年11月17日(木曜日)

2011年11月17日(木曜日)

PS3トロフィー問題でPSN規約改訂

公開: 2011年11月20日23時20分頃

PS3のトロフィーが公開されている話ですが、SCEからこのようなお知らせが出ましたね……「2011年11月17日 PlayStation®NetworkおよびPlayStation®Homeオフィシャルサイトをご利用中のお客様へ重要なお知らせ (www.jp.playstation.com)」。

この考え方に基づき、PSNの利用規約にて、ユーザーの皆様のゲームプレイに関係した情報は他のPSNユーザーの皆様に提供させていただくことがある旨ご案内しておりますが、PSNユーザー以外の方への情報の提供につきましては、明確な記載がございませんでした。また、『torne(トルネ)™』のトロフィー情報が、ゲームのトロフィー情報と同様に運用されることについての説明も、不十分であったと認識しております。このことにより、一部のユーザーの皆様に混乱を与えてしまう結果となりましたことを真摯に受け止め、お詫びします。

「一部のユーザーの皆様に混乱を与えてしまう結果」というのは良く分かりませんが、ともあれ問題があることを認められた形ですね。

そして、規約を実態に合わせる形で改正。

PSNの利用規約につきましては、ユーザーの皆様によりわかりやすくご理解いただけるよう、情報の公開にかかわる「1.アカウント作成」および「10.情報公開」を見直しのうえ、本日付で改訂いたします。詳細につきましては、下記サイトのリンクにてご覧いただけます。

http://www.jp.playstation.com/R/psn_kiyaku

規約の改訂だけで対応? ……と一瞬思いましたが、今後の対応も検討されているそうで。

また、ユーザーの皆様のゲームプレイに関係した情報の開示の可否につきましても、個々のユーザー様のご希望に応じて選択いただけるような仕組みを、将来の新サービスの導入時やシステムソフトウエアアップデートを通じて提供することを検討してまいります

「検討」という表現ではありますが、まあ、さすがに規約だけで済ませるということはないでしょう。書かれている内容を見るに、非表示にできる機能を追加したり、ユーザーに分かりやすく表示したりする対応が必要だと考えられているように思えます。

ただ、そのような表示や機能の追加はすぐには実装できないので、ひとまず、今すぐできる規約変更だけを済ませたのでしょう。非表示にする機能を追加するとしても、規約に「表示されることがある」という内容が含まれていないとまずいわけで、この改訂はいずれにしても必要になります。

近いうちに何らかの対応がなされるものと思いますので、期待して待ちたいと思います。

関連する話題: セキュリティ / プライバシー / ゲーム / PS3 / PlayStation Network

Self-XSSはブラウザの脆弱性か

公開: 2011年11月20日20時20分頃

こんな記事が……「Facebookの問題画像の氾濫はWebブラウザの脆弱性に原因か? (www.itmedia.co.jp)」。

Facebookはメディアに寄せたコメントで、この攻撃にはWebブラウザの「self-XSS」の脆弱性が悪用されたとの見方を明らかにした。

(~中略~)

今回の攻撃ではユーザーが不正なJavaScriptをWebブラウザのアドレスバーにコピー&ペーストするよう仕向けられたとされる。現時点で、どのWebブラウザが影響を受けるのかは分かっていない。

ブラウザのアドレスバーにjavascript:で始まる文字列をコピーさせてスクリプトを実行させるという話ですが、これ、ブラウザの脆弱性なのでしょうか。ユーザーが自らコピーして実行してしまうのではどうしようもないような……。

……と、思ったら、実は最近のブラウザではけっこう対策されているのですね。たとえばIE9の場合、

javascript:alert(document.cookie)

……という文字列をアドレスバーにコピーしても、

alert(document.cookie)

という文字列がペーストされます。つまり、頭の"javascript:"が取り除かれます。このままEnterを押してもスクリプトは実行されず、検索されることになります。手動で頭にjavascript:と打ち込むことはできて、そうするとスクリプトが実行されます。

というわけで対策されているのですが、攻撃者には「javascript:と入力してからコピーしてください」という指示をする余地もあるので、この対策で万全なのかと言われると微妙なところです。

ではFirefox8ではどうかと思って試してみると、こんな力強いメッセージが。

javascript: and data: URIs typed or pasted in the address bar are disabled to prevent social engineering attacks.

Developers can enable them for testing purposes by toggling the "noscript.allowURLBarJS" preference.

これはおそらく、手元のFirefoxに拡張の「NoScript」を入れているために出ているのでしょう。手入力だろうと何だろうと力強く警告されて全く動作しません。書かれているように、設定でこの機能を無効にできるようですが、それをしない限り鉄壁のディフェンスです。

そんなこんなで、対応方法はあると言えばあるというわけですね。しかし、こういう対策が実装されていないからといって、それがブラウザの脆弱性と言えるのかどうか、なかなか微妙なところではあります。

※個人的には、javascript:document.cookieをアドレスバーに入れてCookieを操作したいときが結構あるので、まったく使えないとそれはそれで困ったりもします。

関連する話題: Web / セキュリティ / UA / IE / Firefox

最近の日記

関わった本など