https://www.bravotouring.com/~yano/archives/2003/01/22/ Recent content in 2003/01/22 on Yano's digital garage Hugo en-us Wed, 22 Jan 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20030122.htm Wed, 22 Jan 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20030122.htm <p>久々のセキュリティネタ。 <table align="right" class="Landscape"> <tr> <td><img alt="Opera スクリーンショット" src="https://www.bravotouring.com/~yano/images/2003/030122.jpg"/></td> </tr> <tr> <td class="PhotoMemo"><span class="Software">Opera</span>のスクリーンショット</td> </tr> </table> </p> <p><a href="http://www.microsoft.com/japan/ie/" target="SubWindow">Internet Explorer</a>の<span class="Worning">cookieが漏洩する脆弱性</span>について、昨年12月5日にリリースされた<a href="http://www.microsoft.com/japan/technet/security/bulletin/ms02-068ov.asp" target="SubWindow">MS02-068: Internet Explorer 用の累積的な修正プログラム(324929)</a>を適用しても2つの問題が未対応である事があきらかに。これによって破壊攻撃を受けたりするような事はないが、通販等を利用した事がある人は最悪クレジットカード番号など個人情報が漏れてしまう可能性もあるので要注意だ。</p> <p>こういう場合でも「セキュリティindex」→「Internet Explorerの推奨設定」に従って、インターネッゾーンではスクリプトを無効にするゾーン設定にしておけばかなり安全性が高まるのは言うまでも無い。いくら「怪しいページにはアクセスしない」と言っても、asahi.comの画面を構成する全素材がasahi.comのサーバーにあるとは限らない。アクセスする度に変るバナー広告などは広告代理店など別サイトのcgiを参照している事が多く、そういうところに罠を仕掛けられた場合でもゾーン設定をきっちりしておく事により別サイトの動作を制限する事ができるのだ。</p> <p>なお、対象となるサイトを表示した状態で、ブラウザのアドレスBOXに <span class="Strong">javascript:document.cookie;</span> と入力すればそのサイトのcookieに保存されている情報を表示する事ができるので、一度確認してみる事をオススメする。ちゃんとした通販系のサイトでは重要なユーザーデータはサイト側のデータベースに保存していてcookieにはユーザーID程度しか保存してないハズ。<span class="Note">ユーザーID程度と言えどもamazonで高価な学術書を何冊も買わされるようなイタズラをされたらエライ損害だが…。</span>万が一にもクレジットカードや電話番号と思われる数字が表れるようなおマヌケなサイトとはcookieを削除してバイバイしましょう。</p> <p>cookieと言えばEUでcookie規制法案が通ったというニュースが1年以上前にあったが、あれからどうなったのだろう？</p> <p>さて登場当時に乗換えを断念した<span class="Software">Opera</span>だが、昨日再インストールして一晩弄くってみたらCSSなどほとんど遜色無く使えそうなのでしばらく<span class="Software">Opera</span>をメインにする事に。ただActiveXは動かないから問題無いとして、スクリプト制限とかはできないのかなぁ？Ieのゾーン設定のような。　あと取り敢えず愛用のダウンローダー<span class="Software">Irvine</span>対応のプラグインも入れておく。ネイティブ対応してくれれば言う事無しなのだが....。</p> <p class="Reference">参照 <br/>●<a href="http://www.st.ryukoku.ac.jp/~kjm/security/memo/" target="SubWindow">セキュリティホール memo</a> <br/>　-<a href="http://www.st.ryukoku.ac.jp/~kjm/security/memo/2003/01.html#20030120_iexss" target="SubWindow">■ IEのXSSバグで任意サイトのCookieが漏洩</a> 2003年1月20日 <br/>　-<a href="http://memo.st.ryukoku.ac.jp/archive/200206.month/4027.html" target="SubWindow">[memo:4027] Cookieの表示と削除を手軽に</a> 2002年6月2日 <br/>●<a href="http://slashdot.jp/" target="SubWindow">slashdot.jp</a> <br/>　-<a href="http://slashdot.jp/article.pl?sid=03/01/18/1226227" target="SubWindow">IEのXSSバグで任意サイトのCookieが漏洩</a> 2003年1月18日 <br/>　-<a href="http://slashdot.jp/comments.pl?sid=69008&cid=238547" target="SubWindow">★回避方法</a> <br/>●<a href="http://www.itmedia.co.jp/news/" target="SubWindow">ITmedia Japan</a> <br/>　-<a href="http://www.itmedia.co.jp/news/0111/14/e_cookie.html" target="SubWindow">欧州議会，cookie規制に向けた法案修正を可決</a> 2001年11月14日 <br/> <br/>●<a href="http://www.jp.opera.com/" target="SubWindow">Opera</a> <br/>●<a href="http://hp.vector.co.jp/authors/VA024591/" target="SubWindow">Irvine</a> </p>