水無月ばけらのえび日記

現在Firefox0.9/0.91ではフレーム間の別サイト表示が無効化されてます。

>現在Firefox0.9/0.91ではフレーム間の別サイト表示が無効化されてます。

　おお、なんと。情報ありがとうございます。

　……私の手元の Firefox はまだ 0.8 のままでしたが、これだと何事もなく別サイトに遷移できるようです。0.9 で堅くなったのですね。

しかし2chとかのサイトで問題が起きているようで、バグとして登録されています。

http://bugzilla.mozilla.gr.jp/show_bug.cgi?id=3870

> ……えーと、これは脆弱性……なのかしら。

　一見信用できそうなドメインのサイトを表示しているように見せかけて、実は全然別のサイトにパスワードとかクレジットカード番号とかを送信させるというような偽装系を想定しているのだと思います。フレームの中はURLがアドレスバーに出ませんし、(MSIEの場合)この方法で信頼済みサイトに他のゾーンのページを突っ込んでもステータスバーの表示は「信頼済みサイト」のままです(通常は「不明なゾーン(混在)」となる)。

　ただし突っ込んだページが実際に信頼済みゾーンとみなされるわけではないので、何でもアリではないようです。

しまった出遅れた。

以下、WinIEのお話しです。

http://seclists.org/lists/bugtraq/1999/Nov/0385.html

で未来の人に申し送りしておいた案件のようです。

最近になって、脆弱性対策アプリのPIV-X（だったっけかな？）の製造者殿が

こんなの脆弱性じゃぁナイワイと某MLで言っていました。なんだか

別の綴りのフレームになっていて変な気分でした。

むしろ私はiframe要素って悪意ある攻撃者の良いオモチャだと思っていますが

どうなのでしょう。

ええと、確かobject要素では、HTML風もしくは画像風を

同じドメイン内を呼び出す【不思議用語】

ならば、よいのですが、違うドメインからですと、

上手に呼び出せません。（WinIE）

それのサブセット【不思議用語】たるiframe要素が、

ドメインが違っていても平気でレンダリングするのは

かなり謎な気がします。

このへん、解決すればいいのになぁとセキュリティー的には思います。

大体、もっと大きなカテゴリーであるセキュリティーゾーンが違うのに

Iframe君頑張り過ぎです。

社会工学的なセキュリティーの意味では、、

iframe要素同様に埋め込み型リンク内蔵のimg要素が、やはり

違うドメインでも平気でレンダリングするのはアレですか、

因習でしょうか、モザイク時代の。

ブラウザが、object要素同様に埋め込み型のimg要素であっても

参照先が違うドメインならば無視するようになったら、

いわゆる「画像直リンするなゴルァ」という問題も

なくなるのではと夢想しております。

>ブラウザが、object要素同様に埋め込み型のimg要素であっても

>参照先が違うドメインならば無視するようになったら、

>いわゆる「画像直リンするなゴルァ」という問題も

>なくなるのではと夢想しております。

あまりセキュリティとは関係ありませんが、ローカルの画像を参照したHTMLを間違えてそのまま公開してしまう人も減るのではないかと妄想しています。ただ個人的に【ダウト】この仕様は使いまくってるので、なくなるとちょっと困りますけど。