この広告は、90日以上更新していないブログに表示しています。

2003-12-11

http://ensi.tdiary.net/20031211.html#p03より

• IE(6のみ?)のURL欄の表示は信用してはいけない
• 間違いでした。IE(6のみ?)だけじゃないですね。
• 以下の情報はjavascript版ではないコードに対してのものです。

• • Mozilla(Win版1.5,Linux版1.2、1.4)およびmozilla firebird0.7でもポイント時の表示のURLは偽装されて見えます。
  • Opera(win版7.23、Linux版7.21)ではポイント時に全て表示されます
  • バージョン確認を忘れましたがSafariはポイント時全てを表示しました。
  • Konqueror(Linux版3.1.3)ではポイント時全てを表示しました。
  • http://archives.neohapsis.com/archives/bugtraq/2003-12/0162.html

• 対策
  • hoshikuzu|stardust氏のページに書いてあるhttp://www.secunia.com/advisories/10395/によると
  • Filter malicious characters and character sequences in a proxy server or firewall with URL filtering capabilities.
    • 実際どうすりゃいいのさ(汗
    • squidにはそれらしき設定(acl)はないし…。
      • squidのアクセスログは偽装後のGETリクエストしか見えない
      • どの段階で表示されているURLが消えるのか…
      • 端末でEthereal動かして、リクエスト状況を見ると送出時には既に@の後ろしか見えない
      • user@domainと言うかたちなのでuser(@の前の部分)はdomainが解釈された後送出?
  • squidやfirewallで対処できるぜ!って方はいらっしゃいませんか〜。

• • mozilla1.4〜、mozilla firebir0.6以降ではadblockを導入して、ルールを追加することで偽装されたurlのアクセスをブロック出来る摸様↓参考
    • http://slashdot.jp/comments.pl?sid=140643&cid=453107とhttp://adblock.mozdev.org/
  • コンテキスト拡張メニューをお使いのかたは↓をご参考にどうぞ
    • http://slashdot.jp/comments.pl?sid=140643&cid=453179とhttp://white.sakura.ne.jp/~piro/xul/_ctxextensions.html
      • うああ、今みたらわたしtypoしてるやん…(死

• 動作としてはOperaが正しいような…、そもそも自動ログインの機能だし→user@domain
  • • 現状でuser:password@domainでログインしている人なんているのかな…
      • 実際に試したところ、↑型でアクセスした場合、user名もpasswordもURLバーにもろみえ(wazilla1.5)、今となってはちょっと問題のある仕様ですね。
      • ブラウザの挙動というより、仕組み自体の問題ではないのかな、今時平文でuser:password流すというのも古いし、この型はもうobsoletedとしてサポートしない方向でいいんじゃないかなと。
      • GETリクエスト内のAuthorization:Basicをブロック可能なら防げそう。squidはこの辺惜しい、method単位でのaclは書けるがその中のは指定出来ない。
      • ↑は間違い。正常なリクエストならuser:passwordは流れるが、認証のかかっていないサーバの場合、偽装された部分の文字列はパケットを見る限りでは見受けられなかった