【話題】「Firefox」の最新版2.0.0.11に認証ダイアログボックスの脆弱性

ユーザー名やパスワードを入力するポップアップのダイアログボックスは、
多くの Web サイトでよく見られる機能だ。だが、Mozilla Foundation の
Web ブラウザ『Firefox』のユーザーは、次に個人情報を入力するときには、
よく考えてからにしたほうがいいかもしれない。セキュリティ研究者の Aviv Raff 氏に
よると、最新版の『Firefox 2.0.0.11』では、パスワードを入力するポップアップの
ダイアログボックスを装ったフィッシング攻撃のおそれがあるという。
Raff 氏はこの件に関する文書の中で、「Mozilla の Firefox では、
基本認証ダイアログボックスで表示される情報を装うことが可能だ。
これを悪用し、信用できる Web サイトの認証ダイアログボックスだと
ユーザーに思わせることで、フィッシング攻撃を実行することができる」と注意を促している。
Raff 氏の説明によれば、この脆弱性の原因となっているのは、認証の
実行場所を定義するレルム値に関して、不適切な文字がすべて Firefox の
認証ボックス内で削除されていないことだという。これにより、金融機関などの
信用できるサイトのパスワード入力ダイアログボックスを装ったレルム値を、
攻撃者が作成することが可能になっている。
「ユーザーがリンクをクリックすると、信用できる Web ページが新しい
ウィンドウとして開き、そのウィンドウを攻撃者の Web サーバーにリダイレクトする
スクリプトが実行される。そのサーバーから、巧妙に作成された
基本認証レスポンスが返信される」と Raff 氏は説明している。
Raff 氏は文書による勧告のほか、脆弱性が悪用される仕組みを解説する
動画を YouTube で公開している。
Mozilla の最高セキュリティ責任者 Window Snyder 氏は取材に対し、
この件については調査中だと Eメールで回答した。また、Raff 氏について、
まずは Mozilla にセキュリティ上の問題を知らせて
しかるべきだったとも述べている。

*+*+ japan.internet.com 2008/01/05[**:**] +*+*
http://japan.internet.com/webtech/20080105/12.html

FIREFOXはシネ

222222222222222

Safariで良かった

以下「ロシア語で考えるんだ」禁止

ゲェー
銀行のソフトウェアキーボードとかもまずい？

また、オープンソース厨房のゆとり成果が。

Raff はユーザーの利益のために
Mozilla に報告する前に売名を優先したな。

何が1番かなんて考えなくても良い
所詮、1番なんてないのだから。

IE＆オペラ厨がくるぞ〜

こんなの使ってるやついるのかｗｗｗｗ

火狐ﾕｰｻﾞｰ涙目w

ポップアップのダイアログで認証なんて最近あるか？
ほとんどWebフォーム上の認証だろう

火狐厨によるIEの見下しっぷりは異常

あやしいサイトのリンクを踏まなければ良い。２ちゃんとかなｗ

ファイヤーフォッ糞厨涙目ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

そろそろ3出せよと言いたい

一方、IEは緊急パッチが9日に。

NoScriptみたいなのが有れば他に乗り換えてもいいけど・・・

>>10
プニル厨が一番痛いｗ
>>13
おら見たことねえ。
まあ、どっちみちあのパスワード使わんからな。

もうすこし具体的な例をあげてどの様にモロヨワなのか教えてくれ。
ちなみにおれFirefoxユーザー。ネットは詳しくない。
家賃の振込とかオンラインバンクだけど念のため
画面に出てくるソフトウェアキーボード使ってる。
仕組みはよくわかんないけどなんとなくそのほうが
安全っぽいと思うくらいの知識しかない。
あと、関係ないが熊井ちゃんのファンだ。

さっきインストールしちゃったよorz

>>20
涙目にならずに事実を受け止めろよｗ

まぁネットに完全は無いと

公明ブラウザ軽くていいよ

さっそくやってきましたよ、ぼく、Opera厨


が、IEで無いと都合の悪いサイトも多いのでIEレンダのタブブラウザが手放せませんｗ

ビスタ最強

>>26
IETabみたいなのって無いのん？
あれでサイト毎に使い分けてるなあ

年末のブラクラ祭りで火狐見直したんだが
とたんにこれか
当分は認証はIEでやるか

火狐最近使い始めたんだけど二重起動禁止ってできない？
タブで開いて欲しいのに新しくブラウザ立ち上がってしまうことよくある

なんだFirefoxはダメだな
安全なIE7に乗り換えるよ

>>28
あるらしいが使ってない

IE7にadblockとnoscriptが無償でついてきたら乗り換えるよ

>>30
アドオン入れて設定すれば出来るよ

>>33
ﾜｶﾙ・・・

やっぱりマイクロソフトを使っていればいいんですよ。
日本では反主流が格好いいという妙な風潮がありますが
多くの人に支持されているものは真にいいものなんです。
OSもインターネットもマイクロソフトを使いましょう。

ひでえ!
修正の前に広報したのか。

実は3.0bでは解消してますけど、ってオチだったりして

　　　　　 冫─'　 ~　￣´^-、
　　　　　／　　　　　　　　　　丶
　　　　/　　　　　　　　　　　　　ﾉ、
　　　/　　／ヽ丿彡彡彡彡彡ヽヽ
　　　|　　丿　　　　　　　　　　　ミ
　　　|　彡　＿＿__　　＿＿__ 　ﾐ/
　　　ゝ_/／|-・=- |⌒|-・=- |ヽゞ
　　　|tゝ　　＼__／_　 ＼__／　| |　 ・・・・・・・・
　　　ヽﾉ　　　　／＼_／＼　　 |ﾉ　
　　　　ゝ　　　/ヽ───‐ヽ　/　　
　　　　 /|ヽ　　　ヽ──'　　 /　　
　　　　/ | 　＼　　　￣　　／　　
　 　／　ヽ　　 　‐-　　　　　　　 　

ポップアップのダイアログってどんなのよ？

最近やっとアドオンとか入れてプニルから乗り換えて慣れてきたのに…
まーネットバンクとかあんまり使わないから気にすることはないか。

ＩＥ７は意味不明なエラー吐いて落ちる事が多いから最近、火狐に乗り換えた。

Firefoxってそんなに使いやすいの？
Firefoxで登録したブックマークをIEに移植できるなら使ってみたいんだけど。

>>43
できるよー
IEタブってのでIEサイトにも対応可能

だからあれほどオペラにしとけっていったのに。

なんだよ、またIEに戻さなきゃなんねーのか？

き・・脆弱性・・？

Firefoxは暫く使ってみたが、どうにも挙動が好きになれなくてやめたな
Operaも微妙は微妙なんだが・・・
IE系タブブラウザが出来た経緯も含めて使う側に密着してる感じがある
セキュリティ設定を変更するのも簡単だし

まあharddisk全消しされるIEに比べたらかわいいもんだわ

>>30
Tabbrowser Preferences入れればほぼ１窓環境にできる。
Click2tabと組み合わせれば快適。TBEは入れるな危険。

FireFoxに乗り換えたとたんこれか。
しばらく認証だけIEでやるってもん。

やっぱりIEが一番だね

基本認証なんてトラストの中でしか使わねーし、仮にインターネットで使うとしても
ID、パスワードを公開して、誰に見られてもいいものをボット対策にとりあえず隠すだけだからどーでもいーや。

今時ポップアップ認証なんて殆どないし、jpgでプログラム実行されちゃうような
屑バグを全く直していない何処かのブラウザなんぞ使えません。

お前らにしたら1番のブラウザなんてものはないんだろ
全て劣悪品だもんな

>>34>>50
�d
ちょっといじってみる

F.FOX3は最悪だった…
拡大で(縮小)画像がでかくなるがそれは単にページを丸ごと拡大するだけにｳｨﾝﾄﾞｳに治まらなくなる始末。
ブログやメールで文章書いたり読んだりする際は全く使いもんにならなくなっている。すぐデグレイドした。あれになったらFFやめると思う

Firefoxでshift+クリックすると新しくブラウザ起動させるのなんとかしてくれ
誰があんな糞設定をデフォルトにしたんだ

二重起動防止なんてものまでデフォルト設定になく、アドオンの追加によって実現ってところでなんか間違ってる気もするｗ

operaで「プニルで開く」ボタンが欲しいんだけど
どこでダウンロードできるん？

昔の海外のエロサイトではよくみたがな＞認証ダイアログ

>>57
まだまだβもいいとこじゃんあれ

言いたかないが、水面下で何らかの勢力争いが進行中だったりするんだろうか………？

>>59
多重起動可能なタブブラウザってなんか目的見失ってる感はあるよな。
IEからスムーズに移行できるよう配慮してるのか知らんけど。
ゴテゴテいろいろつけまくってネスケの二の舞にだけはなってほしくない。

でもMSもIE8を出すと宣言しちゃったしね・・・
今更ながら、WWWCに従うとか言ってみたり。

firefox最新版で、あるメンバーサイトにログインしてから、
今度ログアウトするときに、firefox（サイトではない）の
マスターパスワード認証画面（以前バージョンでいうところのプロンプト画面）
が出たりする。

入力しないと表示されたままだから、うざいので入力してたが、
やっぱりこれはバグなのか

この間のウィルス祭りは結局どうなったの？
実害はないって書いてる人がちらほらいたが
KYと言われてた

実害なしなのかウィルスだったのかどっちかわからんけど
怖いし　火狐はもともと入れてたから
2chに貼られてるリンク先に飛びたい時は火狐を使うようにしてたんだが・・・
しかも何日か前にFirefox 2.0.0.11にうｐしちゃったよ　ｸｿーー

>>55
へ？
Operaいいけど？

ＩＥ以外のブラウザ使ってる奴なんているの？アク解見ても９割近くがＩＥだよ？

>>67
所詮はツールなんだから

怖いサイトを踏む時は狐
なんかパスワード聞かれたらIE

って使い分ければいいじゃん。

IEを完全に消してる訳じゃないんでそ？

狐でブックマークからリンク開くとき、新しいタブで開いて
フォーカスも新しいタブに移動するようなアドオンってないか？

IEはセキュリティホールが見つかっても、なかなか対処しないどころか
放置されたものなんて星の数ほどあるブラウザだよ？
ちょっと勉強すれば、あんな脆い船で航海(ネットサーフィン)することの恐ろしさはわかろうもんでしょうに。
まともな神経を持った人は、このまえのブラクラ騒ぎで懲りて、とっくにFirefoxなりOperaなりに乗り換えているよ。
重要な情報を預かる人間には、IEは使ってほしくないね。

Becky!が起動するように設定するにはどうすればいい？
どこで設定するのかわからないのですが。すれ違いですまん。

>>68
Operaってタブバーにアクティブタブを閉じるボタンってデザイン出来ないの？
スプニール使ってるとこの機能がないと一々メニュー開いてタブ閉じるのが面倒でなぁ

おまいら　サッサと　おぺら　にしる！

>>71
前の方にも書いたがClick2tab

>>73
Windowsの標準で使うメーラをBecky!にしる。コントロールパネルから探せ。

上司が一度でも使ったPCにはFirefoxがインストールされててウザいったらありゃしない。

>>77
サンクス、ありがとう。

>>76
�d。ちょっと見てみる

>>74
普通にあると思うけど

悪意あるサイトAから銀行へのリンクを開いてそこでパスワード入力などをするとやばいって事？

　　　　　　 ／＼　　　　　　 |　ｱﾋｬ神様はこう言いました。
　　　　　　||∧ ∧ｱﾋｬﾋｬ　 |　「Netscapeの正当な後継であるFirefoxを使うべし。
　　＿＿＿|(*ﾟ∀ﾟ)＿＿.　 |　　ユーザがカスタマイズできるFirefoxを使うべし。」
　　||　　　⊆ 　　⊇　　|　.　|　　パクリのIEなど、打ち捨てるべし。」
　　￣￣￣|.|　 ||￣￣.　　　|　ｱﾋｬ神様に感謝して…ｱｯﾋｬｯﾋｬ…！
　　　　　　||.|　 ||　　　＿＿.ﾚ──────────
　　　　　　||.ＵＵ| 　. J＿†_|
　　　　　　||　　 |　　 (*ﾟ∀ﾟ) Σ
　　　　　　||　　 | 　 (⌒つΟ　　　　　　　　　　　　ｱｯﾋｬｯﾋｬ!
　　　　　　||　　 |　 ｜　 † |　　　　　　　　　　　　　∧＿∧　　　　　　∧∧　ｱｯﾋｬｯﾋｬ!
　　　　　|￣￣|￣￣￣￣￣￣￣|　　　　　　　　　（　　　__）　　　　　（,,　　）
　　　　　|　 　 |　　　　　 †　　　　|　　　　　　　　 ⊂　　l]＿|　　　　　⊂　 ヾ
　|￣￣￣￣￣￣|￣￣￣￣￣￣￣￣￣￣|　　　（　　 ○ )　　　　　（　　,,）〜
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

しばらくOperaメインで行くか

>>81
タブ毎に閉じるボタン付けてました
失礼しました

文字が綺麗で目に優しいのに誰も使ってない
win版safari使えばいいんじゃね

ふぅ、あせった。

てか、金を扱うパスを自動入力ってアホやろ

>>86
？
使用しているフォントしだいでしょ？
Macはヒラギノだから見やすいと言うならわかるけど。

Webブラウザ単独なのに、あんなに重くなってしまうようではねぇ〜
結局は、Mozilla suiteと同じ運命をたどるんでしょ、使ってられないよGekkoは。

はっきり言ってこれくらいの脆弱性を気にしていたらネットなんか使えない
自動車買ったけど事故が怖いから乗らないみたいになってしまう

>>89
どのフォントを使ってもwin版のsafariはスムージングされるから
ギザギザの文字にうんざりしてる人には向いてると思った

Opera厨がやってきますたよ(´･ω･｀)

PCサポセンの人だけど、あんまりFFやらAVASTやら薦めるなよ
書き込んでる大体のヤツは問題ないだろうが、この手のスレ見て、
少なくとも困ってサポセン電話するようなレベルで、メーカーブランドPCにFFとかAVASTとか入れるバカが後を絶たなくて困る

おまいらマイクロソフトのインターネット使っとけ！

>>94
サポ船って給料いくらなの？美女ばっかで男はやりまくりってほんと？

っていうか、FireFoxつかってる人っているの？

あんなモタモタして遅いブラウザ使う奴の気が知れねえ

>>97
同意。

Opera9.5に期待

>>97
少なくともOperaユーザーよりは多い

ファイアーフォックス（笑）

毎回同じところに脆弱性が発見されるような気がするな。
認証管理の機能なんか使わない方がいいのかもしれない。あとNoScriptも必須
まあ、IEはFirefox以下だが。Operaで表示できないサイトなんて知らないし
多分どうでもいいものだからOpera最強ってことで。

ま、いつものように数日後には塞がれてるんだろうけどね。

ま、IEのHDD消去バグよりは数倍マシだな

ここまでドーナッツの名前なし？

>>101
作り手が悪いんだろうけど、Operaでだけレイアウトが崩れるサイトもあるからなぁ

>>104
あれはＩＥコンポだろ

>>97
俺もウイルス騒動でFirefox使ったが、モッサリは論外だ・・・
消去法でOPERAに落ち着いた。

Operaって見れないサイトだらけじゃん。

そしてlolifoxへ

>>108
UA変更してieとか名乗らせれば見られるサイトも多い。
まあ見られるとは言わないのかもしれないけれども。

bbs2chreaderがあるからfxだなー。
モッサリはそんなに気にならない。

ｸﾘﾝﾄｲｰｽﾄｳｯﾄﾞ

狐はPC性能モロに出るからな
立ち上がり以外でさほど気にしたことなんかないが

一応3.0はメモリリーク改善版だそうだから
正式版になるまで生暖かく見守るだけだな

ポップアップ認証なんざするかってのW

>>114
タブ閉じればメモリ使用量が減るってこと？
そうだったらＧＪ！

たしかに狐はIEと比べてめっさ遅いな

めっさ遅いか？それは感じないな
operaが速いのは認めるが表示出来ないのがちょっと多い

HDD消去ウィルスの件でインスコだけしてろくに使ってなかった火狐使い出した
もっさりしてるのがいやで使ってなかったが・・・

最新版に更新うんぬん言い出したから更新したんだが
余計なお世話のタブがうざくて仕方ない
前の方がよかった
タブ未使用に出来ないのかな

IeFoxマダー？

Opera最強伝説がまたひとつ

lynx最強

今時認証ダイアログ使う金融機関ってあるのかな。見たこと無い。

おまいら盗まれて困るほど金持ってないだろｗｗｗ

恋愛ブログ村アンケート - 結婚するなら処女と非処女どちらがいいですか？
http://love.blogmura.com/board/vot/voting45_18319_0.html

桂きじゃく師匠ｷﾀｺﾚ

>>これにより、金融機関などの
>>信用できるサイトのパスワード入力ダイアログボックスを装った

大事なところに基本認証使ってる金融機関サイトがあったら
そっちの方がニュースだな
このスレ見ても、そう言う認証も危ないと勘違いしてる人おおいし

てか、Mozillaに知らせる前に世間に暴露するし
記事はミスリード気味だし、ネガキャンか？

Firefox遅いかねー
ずっとOpera使っていながら最近落ちまくるようになって乗り換えた
んだけど、速度差は感じないな

またもろよわせいか

こんな糞重いブラウザ使ってる奴なんているの？

>>71
右クリックで新しいタブで開くじゃダメなんですかね

>>128
アンＣＨＩＭＳどもは今すぐＩＥを使ってみろ
神性能に度肝抜かしてションベンちびるから

てか、普段インターネットしているパソコンで口座を開くなよ。
最悪、パスがもれても被害が限定的なものだけにしておけ。
常識だぞ

では>>124名義でキャッシングしてあげやう

ひさしぶりに Opera の 9 を入れてみたけど
機能をひたすら並べてていかにもオタ受けしかしなさそうなメニューだった 6 〜 7 あたりと違って
それなりに整理された UI になっててよくなったと思った
どうせいじりたい奴は階層を掘ってでも設定ファイルを書き換えてでもいじるんだし

>>90
遅いのは Gecko というよりやっぱり XUL 周りだろうなぁ
Gecko は Gecko で API がめんどいのかろくな対応ブラウザが出ないから使えないかもだが
>>119
つ[タブキラー]
ttp://piro.sakura.ne.jp/xul/_tabkiller.html
>>128
使い方によるし入れてる拡張にもよる
Flash の実行速度が遅いんで他にもいろいろ窓を開いてる状態だとニコニコが辛いとかはある

炎狐と雷鳥をインスコしてたが、今ではもう海猿(氷猿)に移動済み。

まだ2系つかってる奴いたの？
3つかえばいいのに

Seamonkey を Milestone で数えてた頃は Nightly を見てたけど
そこそこ動くようになってからは RC すら入れなくなったな