> >

追記

「Netscape Passcard Manager Information Disclosure - Advisories - Secunia」によると Netscape にも同じ脆弱性があるそうです。

追記

「Safari AutoFill Information Disclosure」によると Safari にも同じ脆弱性があるそうです。しかし、.Mac の Homepage によるパスワード保護されたサイトに関しては Safari はパスワードを記憶しないようです。

2006年11月22日に Secunia で「Firefox Password Manager Information Disclosure - Advisories - Secunia」というセキュリティ勧告がされて以来、この問題が .Mac サイトにも影響するとみて、調査指定から取り上げようとしてました。今日、ようやく時間が取れたので自分のサイトと自分が管理しているグループを使用して、クロスサイト(クロスドメインではない)なパスワードの盗み出しが可能であると確信しました。

これについてはオリジナルのソース「Chapin Information Services」を見てもらうのがよいでしょう。英語ですが説明図が付いているので読まなくても概要がわかると思います。実際に私はこの絵だけを見て .Mac における実証コードを作成しました。つまりとても簡単な仕組みでパスワードを盗み出せるということです。

.Mac の homepage 機能によってパスワードで保護された「サイト」を作ることができます。.Mac の典型的な使い方は、遠方にいる両親に見せる子供の写真やムービーを掲載する「サイト」や、友人同士で集まったときに撮った写真を配布するための「サイト」に部外者が立ち入れないようにするというものでしょう。中には仕事用のファイルの提供のためにパスワードを付けている人もいるでしょう。

IE や Firefox では、こういう「サイト」のパスワードの入力欄に自動入力できます。パスワードをいちいち覚えなくてもブラウザが覚えておいてくれるのですから大変便利な機能です。しかし、当該の「サイト」以外でもこの自動入力が行われる結果、他の人のパスワードを盗み出すことが可能です。.Mac ではご存知のとおり CGI や PHP などが使用できないから盗み出したパスワードをどうすることもできないと考える人もいるかと思いますが、そうではありません。その方法については敢えて言及しませんが、盗み出したパスワードを仕掛けた人が取得する方法がちゃんとあります。

これを防ぐには次の方法があります。

• IE や Firefox を使用せず Safari や Opera を使用する。

  これまでのところ Safari にはこの脆弱性が報告されていません。また、私が自分のサイトに作成した実証ページでは Safari からはパスワードを知ることができませんでした。「知る」と言っても元々自分のサイトのパスワードなのですが。

  ただし、これは .Mac の homepage 機能で作成した「サイト」のパスワードに関してのみ検証してあります。また、私の検証が十分であることは保証しません。あくまでも参考情報として考えてください。

• IE や Firefox ではこのパスワードの補完機能を使用しない。

  これまでこの機能に頼っていた人はちょっと不便になりますがパスワードが盗まれるよりはましです。Firefox では [環境設定] の [セキュリティ] タブにある [パスワード] セクションの [サイトのパスワードを記憶する] のチェックを外してください。チェックを外しても既に記憶されたパスワードを忘れることはありませんが、パスワードを補完しないようになります。そして新たなパスワードは覚えません。

そして .Mac ユーザとして重要なことは、homepage 機能であなたが作成した「サイト」を閲覧する全ての人に上のことを徹底することです。あなただけがこの対策をしても、あなたのブラウザからパスワードが漏れることは防げますが、他の人もそうしていなければその人のブラウザからパスワードが漏れる可能性があります。