2011年2月22日(火曜日)
アドレスバーはXSSを防げるか
公開: 2011年3月8日13時40分頃
こんなお話が……「Google Chromeからアドレスバーが消えたとして騒ぐ必要ある? (d.hatena.ne.jp)」。
結局、「アドレスバーを見ただけでXSS型のフィッシング詐欺を判別できる人がどれだけいるのか」という問題。日頃ブラウジングをしていて何気なく出てきたフィッシングを、アドレスバーを見ただけで一発で見分けられるのか。
そもそも、アドレスバーでXSSの防止が期待できると主張している人がいるのでしょうか……?
ここで言われている「XSS型のフィッシング詐欺」という攻撃は、入力フォームにXSS脆弱性があって入力欄や送信先を改竄できてしまうパターンだと思います。この手の入力フォームはたいていPOSTで動作するようになっていますので、XSS攻撃もPOSTで行われることでしょう。POSTによるXSSではアドレスバーに攻撃の気配は全く現れませんので、どんなにアドレスバーを凝視してもXSS攻撃を見分けることはできません。
※中にはGETで攻撃できるフォームもありますが、例外的なケースだと思います。
ですから、そもそもアドレスバーでXSSを見破ることは期待できません。アドレスバーが重要になるのはXSSではなく、普通に偽サイトを構築するタイプのフィッシングの場合でしょう。
フィッシングでは、しばしば本物サイトと似た紛らわしいドメインを使って利用者を騙そうとします。これは、本物サイトと全く異なるドメインでは利用者を騙しにくいということでもあります。利用者にサイトのURL (とドメイン名) を知らせる機能は重要なもので、それを無くすのは危険でしょう。
その機能を提供するインターフェイスとしては、アドレスバーという形をとるのが現在の主流です。ですからアドレスバーを採用することは無難だと思いますが、これが最良なのかどうかは議論の余地があると思います。
- 「アドレスバーはXSSを防げるか」にコメントを書く
- 前(古い): 2011年2月19日(Saturday)のえび日記
- 次(新しい): 2011年2月23日(Wednesday)のえび日記
