久々のセキュリティネタ。
Operaのスクリーンショット |
Internet Explorerのcookieが漏洩する脆弱性について、昨年12月5日にリリースされたMS02-068: Internet Explorer 用の累積的な修正プログラム(324929)を適用しても2つの問題が未対応である事があきらかに。これによって破壊攻撃を受けたりするような事はないが、通販等を利用した事がある人は最悪クレジットカード番号など個人情報が漏れてしまう可能性もあるので要注意だ。
こういう場合でも「セキュリティindex」→「Internet Explorerの推奨設定」に従って、インターネッゾーンではスクリプトを無効にするゾーン設定にしておけばかなり安全性が高まるのは言うまでも無い。いくら「怪しいページにはアクセスしない」と言っても、asahi.comの画面を構成する全素材がasahi.comのサーバーにあるとは限らない。アクセスする度に変るバナー広告などは広告代理店など別サイトのcgiを参照している事が多く、そういうところに罠を仕掛けられた場合でもゾーン設定をきっちりしておく事により別サイトの動作を制限する事ができるのだ。
なお、対象となるサイトを表示した状態で、ブラウザのアドレスBOXに javascript:document.cookie; と入力すればそのサイトのcookieに保存されている情報を表示する事ができるので、一度確認してみる事をオススメする。ちゃんとした通販系のサイトでは重要なユーザーデータはサイト側のデータベースに保存していてcookieにはユーザーID程度しか保存してないハズ。ユーザーID程度と言えどもamazonで高価な学術書を何冊も買わされるようなイタズラをされたらエライ損害だが…。万が一にもクレジットカードや電話番号と思われる数字が表れるようなおマヌケなサイトとはcookieを削除してバイバイしましょう。
cookieと言えばEUでcookie規制法案が通ったというニュースが1年以上前にあったが、あれからどうなったのだろう?
さて登場当時に乗換えを断念したOperaだが、昨日再インストールして一晩弄くってみたらCSSなどほとんど遜色無く使えそうなのでしばらくOperaをメインにする事に。ただActiveXは動かないから問題無いとして、スクリプト制限とかはできないのかなぁ?Ieのゾーン設定のような。 あと取り敢えず愛用のダウンローダーIrvine対応のプラグインも入れておく。ネイティブ対応してくれれば言う事無しなのだが....。
参照
●セキュリティホール memo
-■ IEのXSSバグで任意サイトのCookieが漏洩 2003年1月20日
-[memo:4027] Cookieの表示と削除を手軽に 2002年6月2日
●slashdot.jp
-IEのXSSバグで任意サイトのCookieが漏洩 2003年1月18日
-★回避方法
●ITmedia Japan
-欧州議会,cookie規制に向けた法案修正を可決 2001年11月14日
●Opera
●Irvine