Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画
MozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿The Registerの記事Bleeping Computerの記事)。

Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。

FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。

※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。

すべて読む | セキュリティセクション | セキュリティ | Firefox | デベロッパー | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Mozilla、他サイトでFacebookに追跡されにくくするFirefox用拡張機能を公開 2018年03月31日
Firefox、特定の種類の広告をデフォルトでブロックする計画を公表 2018年03月30日
Mozilla、プライバシーリスクのある4つのセンサーAPIを非推奨にする計画 2018年03月17日
Chrome 68ではすべてのHTTP接続ページで安全性に関する警告が表示される 2018年02月12日
今後のFirefoxの新機能は原則としてHTTPSでのみで利用可能に 2018年01月23日
Chrome 63以降ではFTPでのアクセスに対し警告が表示されるようになる 2017年09月19日
FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 2017年01月28日

この元記事はスラド


 ホームFirefox