水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > アドレスバーはXSSを防げるか

アドレスバーはXSSを防げるか

2011年2月22日(火曜日)

アドレスバーはXSSを防げるか

公開: 2011年3月8日13時40分頃

こんなお話が……「Google Chromeからアドレスバーが消えたとして騒ぐ必要ある? (d.hatena.ne.jp)」。

結局、「アドレスバーを見ただけでXSS型のフィッシング詐欺を判別できる人がどれだけいるのか」という問題。日頃ブラウジングをしていて何気なく出てきたフィッシングを、アドレスバーを見ただけで一発で見分けられるのか。

そもそも、アドレスバーでXSSの防止が期待できると主張している人がいるのでしょうか……?

ここで言われている「XSS型のフィッシング詐欺」という攻撃は、入力フォームにXSS脆弱性があって入力欄や送信先を改竄できてしまうパターンだと思います。この手の入力フォームはたいていPOSTで動作するようになっていますので、XSS攻撃もPOSTで行われることでしょう。POSTによるXSSではアドレスバーに攻撃の気配は全く現れませんので、どんなにアドレスバーを凝視してもXSS攻撃を見分けることはできません。

※中にはGETで攻撃できるフォームもありますが、例外的なケースだと思います。

ですから、そもそもアドレスバーでXSSを見破ることは期待できません。アドレスバーが重要になるのはXSSではなく、普通に偽サイトを構築するタイプのフィッシングの場合でしょう。

フィッシングでは、しばしば本物サイトと似た紛らわしいドメインを使って利用者を騙そうとします。これは、本物サイトと全く異なるドメインでは利用者を騙しにくいということでもあります。利用者にサイトのURL (とドメイン名) を知らせる機能は重要なもので、それを無くすのは危険でしょう。

その機能を提供するインターフェイスとしては、アドレスバーという形をとるのが現在の主流です。ですからアドレスバーを採用することは無難だと思いますが、これが最良なのかどうかは議論の余地があると思います。

関連する話題: セキュリティ / Web / UA

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト