■ - hoshikuzu | star_dust の書斎

■WinIEだけじゃぁないURL偽装再び。

なるほどねぇ、、このボタンにスタイルを適用するのですか。スタイルを適用すると以下のようになります。

WindowsにてOperaで見るとあからさまに怪しいボタンですが、IEやNetscapeで見るとそこそこ普通のリンクに見えてしまいますね。そのようにスタイルを設定しているから。オンマウスオーバーでのステータスバーに表示のURLが偽装になっているわけですね。

ボタンをクリックすると、IEではボタン（FORM)のアクション先であるyahooに行き、Operaでも同様。これらは危険。Netscapeではgoogleに行きますね。安全。ということは、やっぱりIEの実装にはもう少しセキュリティー上工夫のしどころがありそうだという結論なのでしょうか。Operaに特化して普通のリンクに見えるスタイル設定があればOperaも同じぐらい危険。うーん、javascriptを切ってあってもこの問題は回避できませんね。リンクURLをクリックして罠にはまるウイルスがはやっている今日この頃、こういうＡ要素にみせかけたFORMのURL偽装（ステータスバー偽装）がjavascriptなしで仕掛け可能であること、危険度は小さくないと思います。自衛策が取りにくいですね。それに、この脆弱性、多分、修正は極めて難しいと思われます。なおるのはずっと先ではないですか？HTMLメールは開かない、ということで。もしくはユーザースタイルシートを設定しておくとか？右クリックするとショートカットメニューがいつもと違うとか。(但し、StudioKamadaさんご指摘のようにjavascriptが切ってないと別の古典的な罠で右クリックが普通に見えるものもあるのであまり有効ではないかも知れません。)

この問題はSecunia - Advisories - Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofingで詳細が語られています。はてなダイアリーではこの記事中のexploitのスタイル属性は使えませんので、設定画面にてスタイル要素にて指定をしてみました。

あ、セキュリティーホールＭＥＭＯにも実験画面がありますね。

■URL偽装対策事例

t_traceさんがさっそくSafari用の対策スタイルシートを発表していますね。

Safari用URL偽装問題へ対処のユーザースタイルシートより引用させて頂きます。


a [action]:after {
    background-color:rgba(100%,100%,0%,0.5);
    color:black;
    font-weight:bold;
    content:"Click Action:" attr(action)}

私がWinIE用に試しに作成したものは以下のユーザースタイルシート。文脈セレクタを使って、a要素内のinput要素などsubmitできそうなものを見せないようにしてみました。これなら罠にはまる可能性は極小でしょう。


a form {display: none !important }
a input {display: none !important }

とは言え、ユーザースタイルシートって何？という向きもあるかもしれません。ユーザースタイルシートのススメ - Personnel#ブラウザ別使用方法の周辺の記事が参考になろうかと思います。この際ですからユーザースタイルシートをお試しになられてみたらいかがでしょう。

だけどform関連だけかなぁ。。(謎)

ご注意：上のスタイルシートでは完全には防御出来ないことがわかりました。しないよりしたほうが良いことは間違いありませんが。突破可能な改造版exploitが存在します。解決出来そうなら公表いたします。ご勘弁下さい。とりあえずのWinIE用暫定版対策ユーザースタイルシートは４月５日の本記事続編パート３に置いてあります。

追記

以下、WinIEでのみ検証です。うーん、報道されているオリジナルな罠では右クリックした瞬間にショートカットメニューが怪しいことがわかるのですが、手元の改造版では右クリックするとリンク時に期待される普通のショートカットメニューが表示されてしまいますね。リンクへのショートカットをコピーして、メモ帳などのテキストエディタへ貼り付けるとはじめて罠リンク（危険な誘導）だと気がつくことが出来る模様です。javascript不要だから気をつけたほうがいいかも。オリジナルな罠ではクリック時点でボタンが沈み込むような視覚効果が残っていますが、この効果も消せますね。

WinIEでのユーザの自衛策：javascriptはオフにする。リンクでは、オンマウスオーバーでのステータスバーの表示を確認するが信用しない。右クリックして表示されるショートカットメニューを必ず確認する。いつもと違ったらそれは罠。いつもと同じでも信用しない。ショートカットメニューでショートカットの内容をコピーし、テキストエディタに貼り付け、真のリンク先を確認する。というところですか。

こんなじゃ、WebMAILは使えません。とほほ。

後日談：追記

新しい知見も含め、追記がかなり長くなりそうなので当日記の4/4にて記事をまとめなおします。是非ご覧下さい。