【FF\(^o^)/】アカウントを乗っ取るFirefoxの拡張機能が公開 大手サイトの実態に警鐘
1 : パム、パル(東京都):
アカウントを乗っ取るFirefoxの拡張機能が公開 大手サイトの実態に警鐘
TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうという。
TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうFirefox
の拡張機能「Firesheep」をセキュリティ研究者が公表した。大手のWebサイトがユーザー保護の責
任を果たしていない実態に警鐘を鳴らすのが狙いだとしている。
Firesheepは米国のWebアプリケーション開発者、エリック・バトラー氏が先の週末にセキュリ
ティカンファレンスのToorcon 12で披露した。同氏はその背景について「Webサイトは一般的に、
ログインの際にはパスワードを暗号化してユーザーを保護しているが、それ以外のものは何も暗号
化されていないのが普通だ。攻撃者がHTTPセッションの乗っ取りによってユーザーのcookieを入手
してしまえば、特定のWebサイトでそのユーザーのアカウントを乗っ取ることができてしまう」と
指摘する。
Firesheepは「この問題の深刻さを示すため」にリリースしたという。インストールすると、ま
ず公開されている無線LANに接続する。ユーザーがその無線LANを使って、Firesheepにあらかじめ
登録された「安全でない」Webサイトにアクセスすると、そのユーザーとしてWebサイトにアクセス
できてしまうという。
http://www.itmedia.co.jp/enterprise/articles/1010/26/news017.html
|
|
|
2 : パム、パル(東京都):2010/10/26(火) 08:17:13.54 ID:e/vWdCfAP
バトラー氏は、「この問題は広く知られているにもかかわらず、極めて人気の高いWebサイトが
依然としてユーザーを保護していない。解決のための唯一の効果的な方法は、HTTPSやSSLを使った
完全な暗号化しかない」としたうえで、FacebookやTwitterを批判している。「Webサイトにはユー
ザーを守る責任があるにもかかわらず、その責任を長い間無視してきた。ユーザーはもっと安全な
Webを要求すべきであり、Firesheepがその助けになることを願う」と結んでいる。
セキュリティ企業各社もブログなどでFiresheepを取り上げている。McAfeeは「このプラグイン
が問題なのではない。問題はSSLのログイン、または、強い暗号を使っていないWebサイトにある」
と明言した。そのうえで、「大半のWebサイトをあてにできない以上、ユーザーは自分の情報を自
分で守るしかない」と述べ、Electronic Freedom Foundationが提供する「HTTPS-Everywhere」と
いうFirefox拡張機能の利用を勧めている。
一方、F-Secureは「Firesheepが悪用されるのは確実」だと予想し、ユーザーが取るべき対策と
して暗号化されていない無線LANを使わないこと、VPNを利用することなどを挙げた。
http://image.itmedia.co.jp/enterprise/articles/1010/26/fffiresheep.jpg
依然としてユーザーを保護していない。解決のための唯一の効果的な方法は、HTTPSやSSLを使った
完全な暗号化しかない」としたうえで、FacebookやTwitterを批判している。「Webサイトにはユー
ザーを守る責任があるにもかかわらず、その責任を長い間無視してきた。ユーザーはもっと安全な
Webを要求すべきであり、Firesheepがその助けになることを願う」と結んでいる。
セキュリティ企業各社もブログなどでFiresheepを取り上げている。McAfeeは「このプラグイン
が問題なのではない。問題はSSLのログイン、または、強い暗号を使っていないWebサイトにある」
と明言した。そのうえで、「大半のWebサイトをあてにできない以上、ユーザーは自分の情報を自
分で守るしかない」と述べ、Electronic Freedom Foundationが提供する「HTTPS-Everywhere」と
いうFirefox拡張機能の利用を勧めている。
一方、F-Secureは「Firesheepが悪用されるのは確実」だと予想し、ユーザーが取るべき対策と
して暗号化されていない無線LANを使わないこと、VPNを利用することなどを挙げた。
http://image.itmedia.co.jp/enterprise/articles/1010/26/fffiresheep.jpg
3 : ローリー卿(広西チワン族自治区):2010/10/26(火) 08:18:08.88 ID:Oy7KZBfaO
うんこ
4 : ヤマク君(内モンゴル自治区):2010/10/26(火) 08:18:28.08 ID:6PXRBiRiO
opera最強伝説
5 : 女の子(埼玉県):2010/10/26(火) 08:18:38.78 ID:QBiwaFUD0
ルナスケ最強伝説
プニル最強
7 : ガリ子ちゃん(京都府):2010/10/26(火) 08:19:18.96 ID:wsJw98tt0
メモ帳ブラウザ最強伝説
9 : ブラッド君(広島県):2010/10/26(火) 08:22:05.57 ID:+cSnKgHOP
>>8
やっぱりopera最強だな
やっぱりopera最強だな
10 : はやはや君(関西・北陸):2010/10/26(火) 08:23:31.68 ID:bo9IBowaO
基地害狐厨しねよ
11 : キャプテンわん(catv?):2010/10/26(火) 08:24:53.54 ID:1cEz0vLS0
今の著作権モデルは崩壊しているって公開したWinnyみたいだな
海外ではこういうのの公開で逮捕ないの?
海外ではこういうのの公開で逮捕ないの?
12 : ブラッド君(dion軍):2010/10/26(火) 08:25:56.71 ID:2rULsryPP
前からやばいアドオンはあったような
13 : ぶんた(千葉県):2010/10/26(火) 08:30:31.44 ID:ERJTXf2Q0
愚かなWebサイトは滅び去るがいい
14 : auワンちゃん(関東):2010/10/26(火) 08:30:56.74 ID:2IPBV70PO
有名なサイトなのになんでSSLを導入しないの?
自サイトの公開鍵とその証明書を発行してもらうだけの料金を認証局に払えないから?
SSL導入で加わる負荷を技術的にも資金的にも捌ききれないから?
自サイトの公開鍵とその証明書を発行してもらうだけの料金を認証局に払えないから?
SSL導入で加わる負荷を技術的にも資金的にも捌ききれないから?
15 : アヒ(チベット自治区):2010/10/26(火) 08:33:52.68 ID:IVB0nYRQ0
16 : ピーちゃん(滋賀県):2010/10/26(火) 08:36:53.36 ID:QV7AlbP00
17 : しまクリーズ(関東・甲信越):2010/10/26(火) 08:37:01.88 ID:UQI2+bTHO
>>8
俺いつのまにビジネスマンになったんだ?
俺いつのまにビジネスマンになったんだ?
18 :-:2010/10/26(火) 08:44:51.82 ID:2pDeeLt80
乗っ取られたら新しくアカ作り直すだけだし
19 : パム、パル(catv?):2010/10/26(火) 08:45:33.42 ID:vcfnuau5P
>>8
くろむ以外大体あってそうだから困る
くろむ以外大体あってそうだから困る
20 : カツオ人間(catv?):2010/10/26(火) 08:48:25.16 ID:rXEQbcNn0
どこのサイトがセーフでどこのサイトがアウトなんだぜ?
21 : タヌキ(catv?):2010/10/26(火) 08:53:47.33 ID:zq79BEPrQ
>>8
どこ調べだよw
どこ調べだよw
俺のおすすめのfirefoxアドオンは「検索ボックス自動入力」と「SearchWP」
この2つのシナジー効果は絶大
この2つのシナジー効果は絶大
23 : パピラ(関西地方):2010/10/26(火) 09:19:02.51 ID:3+fFz9VB0
>>8
Chromeは萌えオタとは違うベクトルのギークっぽいイメージ
Chromeは萌えオタとは違うベクトルのギークっぽいイメージ
24 : コロちゃん(愛知県):2010/10/26(火) 09:22:06.34 ID:9Qzu4suU0
>>8
わらったww
わらったww
25 : たまごっち(catv?):2010/10/26(火) 09:23:34.28 ID:pODSZ8Ny0
>>8
ieが創価ファミリーにしか見えない
ieが創価ファミリーにしか見えない
26 : さくらとっとちゃん(岩手県):2010/10/26(火) 09:24:01.19 ID:58VZy1sD0
>>8
なんだよダウンロードページから帰ってきたらあっさりOperaの勝利確定かよ
なんだよダウンロードページから帰ってきたらあっさりOperaの勝利確定かよ
27 : ことみちゃん(栃木県):2010/10/26(火) 09:26:15.94 ID:nA+elqWP0
>>8
どこのグルだよ
どこのグルだよ
28 : かもんちゃん(関西地方):2010/10/26(火) 09:29:23.22 ID:h4xPNq9u0
>>8
ネスケや国内タブブラウザも知りたい
ネスケや国内タブブラウザも知りたい
29 : カツオ人間(catv?):2010/10/26(火) 09:29:44.63 ID:rXEQbcNn0
30 : ののちゃん(中部地方):2010/10/26(火) 09:30:17.27 ID:s6vKKWJ40
>>8
田中ぷにるおみしりおきをー
田中ぷにるおみしりおきをー
31 : Mr.メントス(兵庫県):2010/10/26(火) 09:38:51.78 ID:qRZlG0YL0
4 名前:あぼ〜ん[あぼ〜ん] 投稿日:あぼ〜ん
9 名前:あぼ〜ん[あぼ〜ん] 投稿日:あぼ〜ん
アドオン作る奴が悪いのに firefoxとか書くなや
9 名前:あぼ〜ん[あぼ〜ん] 投稿日:あぼ〜ん
アドオン作る奴が悪いのに firefoxとか書くなや
32 : ストーリア星人(千葉県):2010/10/26(火) 09:40:11.57 ID:ykE52rEC0
>>31
ア.フ.ィ兵庫さんちーっす
ア.フ.ィ兵庫さんちーっす
33 : パム、パル(catv?):2010/10/26(火) 09:51:02.31 ID:9WPbZUc0P
>>8
IEはなんなんだよ・・・
IEはなんなんだよ・・・
>>8
クソワロタw
クソワロタw
35 : つくばちゃん(東京都):
セキュリティ産業による脅しだな