Article delegate-en/1785 of [1-5169] on the server localhost:119
  upper oldest olders older1 this newer1 newers latest
search
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
[Reference:<_A1784@delegate-en.ML_>]
Newsgroups: mail-lists.delegate-en

[DeleGate-En] Re: Delegate.org のクロスサイトスクリプティング脆弱性
25 Jul 2002 14:20:28 GMT feedback@delegate.org (Yutaka Sato)


On 07/25/02(16:21) you office <p6edabdyi-p5lznxisfbxr.ml@ml.delegate.org> wrote
in <_A1784@delegate-en.ML_>
 |仮に「怪しげなサイト」であったとしでも、そこから通常の文脈で示されたリンク
 |まで疑う人はいないでしょう。
...
 |> <URL:http://www.cert.org/advisories/CA-2000-02.html>
 |
 |が出てきてますが、これを信じるに足るリンクだと判断する理由は、佐藤さんと
 |今までセキュリティの話をしていて、cert.org というセキュリティで有名なサ
 |イトドメインのリンクを指し示しているという文脈からに過ぎません。

ちょっと違うような気がします。このサイトは信頼できる情報の中に頻繁に
参照されていて、自分でも何度もこのサイトを訪れて経験的にその内容の確
かさを知っているため、自分では信頼しているということは言えます。私が
これを提示するのを見た人がそれを信頼するか否かは、やはりその人がこの
サイトをよく知っているか、知らないけれど提示した人間を信用しているか、
でしょう。
そういう文脈で、URL全体がユーザに見えて怪しげでないようなので、これを
あらかじめ疑うことは無い、ということになると思います。

 |このリンクが実は悪意あるリンクかどうかなんて、アクセス前からわかるわけは
 |ないし、アクセスした後にも、それが文脈に沿った内容であれば、通常なら疑う
 |必然性はありません。

信頼できない/見知らぬサイトからの見知らぬリンクを信頼するかどうかは
かなり違う問題だと思います。
自分では、自分の既知のものや信頼できる筋からの情報以外は、とりあえず
疑わなければならないと思っています。実際インターネットでちょっと生活
すれば自然とそうなってしまいます。(関連しますが、自分の知らない素性
が確認できない人からの個人宛てのメールには基本的には応答しない、とい
うのも私の防衛方針の一つです。)
自分では本当に信頼しなければ出来ないような作業をする事はそう多くない
ので、その時だけ十分に注意する、ということで実用上結構いけるとは思う
のですが、これが頻繁なら辛いし、全てのユーザがそのような常に疑いの
姿勢でいるとはとても思えないので、なにか根本的な技術的な方法で、信頼
できるかどうかの判定を代行してもらう必要があるということだと思います。

SSLでは、信頼できる筋に証明されたサイトなので信頼する、という技術が
普及しましたが、クロスサイトスクリプティングの問題は、サイト単位での
そのような信頼をするモデルが不完全であることを示しているというのが、
本質だと理解しています。最終的には、何か信頼すべき情報を得なければ
ならない時には、サイトの証明だけでなく、ダウンロードされた情報やその
構成要素ごとに、その情報の署名を(自動)確認する必要があると思います。
最終的には、そういう方向に向かうのではないかと想像します。

 |delegate などの proxy の勉強をしたいと思い始めた新米プログラマが、
 |「今なら面白い開発版が
 |http://www.delegate.org/<script+src=http://hoge></script>
 |(あるいは、さらにこれをURLエンコードした
 |http://www.delegate.org/%3C%73%63%72%69%70%74%2B%73%72%63%3D%68%74%74%70%3A%2F%2F%68%6F%67%65%3E%3C%2F%73%63%72%69%70%74%3E
 |)
 |からダウンロードできるよと言われた場合、(実際にはこれらのURLは無効ですが)

実際にこのURLがユーザの目に止まったら、かなり怪しいと思わなくてはなら
ないと思うのですが(^^; 301/302あたりで飛ばされたら予め見ることはありま
せんが、飛んだ後にURLを見ることができるわけですし。。。
クロスサイトスクリプティングが実際やばいことになるには、
・ブラウザでURLにジャンプする際に、その具体的なURLをユーザが入力したり
 確認したりすることが無い。IMGで自動的にたどられてしまうかも知れない。
というのがはじまりで、さらに
・ジャンプ先からの応答データをユーザが見る事がなく、ユーザの知らない
 うちに実行される
ということで攻撃が成立してしまい、
・誰にも気付かれずに繰り返しこれが行われてしまう
というのがダメ押しになるのでは無いかと思います。しかしこれは、スクリプト
実行機能を無効にすることで回避できるので、まずそうすることをユーザと
して習慣にすることが重要だと思った次第です。

 |そのアクセス先が、まさに delegate のダウンロードページの体裁が整って
 |おれば、www.delegate.orgを信ずるからこそ、疑いなど持ちようもないのが自然
 |です。そして、偽 delegate を別サイトからダウンロードさせられたとしても、
 |恐らく気づかないでしょう。
 |あるいは実例で言えば2chでe-bankの申し込みリンクのバナーが貼られた時にも、
 |それが本物のe-bankへの申し込みページか本気で疑った人は少数派のようでした。

偽情報や改竄は、クロスサイトスクリプティング以外の色々な方法でも成立す
ると思いますので(怪しげなミラーサイトとか)、それらにまとめて対処する
必要があると思います。ダウンロードしてもらうファイル自体を署名付きで
暗号化するのがたぶん普通の方法ではないかと思います。現在のところ最低限
の方法として、MD5値を別ルート(メールやFTP/HTTPで)公開してはいますが。

なんだかとりとめの無い話ですが、技術には寿命があり、技術者の人生も限られ
ているので、

・対処が必要な主体やレイヤで、それぞれに適切に対処する
・特に最も効果的な主体をとらえて、そこに集中する
・より本質的で一般的な問題としてまとめて解決する
・緊急の実際の問題については、上にあたらなくてもとりあえず対処する

というような方針で問題に対処するのが良いと思っています。

                   @ @  
┌─┐┬┌──┬┐ //\^^ ( - ); {Do the more with the less -- B. Fuller}
├─┤│└─┐│ / 877m\_<   >_ <URL:http://www.delegate.org/delegate/>
┴ └┴──┘┴──────────────────────────────
佐藤豊@情報処理研究部門.産業技術総合研究所(独立行政法人)


  admin search upper oldest olders older1 this newer1 newers latest
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
@_@V