yohgaki's blog

FirefoxだとJava、JavaScriptのON/OFFは設定できてもプラグインはないんですね。知りませんでした。

Operaだと、「プラグインを有効にする」のチェックを外す、でしょうか。もちろんFlash以外のプラグインも無効化されます。

アドオンのOn/OffはあるのですがプラグインはUIは無いと思います。
JavaScript/JavaのOn/Offは昔はUIがあったと思いますが、今Firefox2.0の設定画面を見るとなくなってますね。Javaを無効化するアドオンもあります。ブラウズしながら気軽にOn/Offできないと使い勝手がわるいのでJavaScript/Java/Flash/PDFなどは一つのアドオンでサイト単位で制御できると便利ですね。

about:config （アドレスバーに直接入力）すればいくつかの項目の有効無効は設定できるようになります。JavaScriptのOn/Off, 試していませんがプラグインの実行前に許可を求める設定と思われる項目もあります。

Flashを使ったUSER_AGENTインジェクションも問題ですね。User-AgentヘッダをSQLインジェクションに脆弱なアプリでなければUser-Agentヘッダを送っても自分で自分の首を絞める事くらいしかできませんが、FlashでUser-Agentヘッダを送信すると結果的にUSER_AGENTとして利用できてしまうそうです。探せば結構脆弱なアプリが見つかるかと思います。

firefox2のhttponly拡張(v0.5)ですが、なにやらexpire属性つきのcookieではバグにより正常に扱えないようです。

例：

A.setcookie("withexpire",123,time()+60*60,"/",null,null,true);
B.setcookie("noexpire",123,null,"/",null,null,true);

httponly拡張は通常Javascriptから参照する場合は、暗号化され、hO_　という名前をクッキー名の先頭につけるようですが、

A. hO_withexpire
B. hO_noexpire

と書き換えられるところを

A. "hO_withexpire

となってしまうようです。Bは正常なので、httpリクエストで送信される場合は、noexpire に複合化して正常に送信されますが、Aはバグにより、そのままの名前で送信されてしまいます。

print_r($_COOKIE);

をみると

Array
(
["hO_withexpire] => 6337c4aa9abd92e1261353477911e150
[noexpire] => 123
)


となります。まだhttponly属性を採用しているサイトが少ないこともあり、あまり感じないのかもしれませんが、早く直るといいですね。firefox3ではデフォルトでサポートのようで早くリリースしてほしいものです。

httponlyがfirefox 2.0.0.5で追加された、と言うブログがありますね。ただし、XMLHTTPRequestを使うとクッキーが見える... という問題はなおっていないようです。

最も安直な方法でのクッキー取得はできなくなったのでよい事には代わり在りません。詳しくは以下のURLが参考になります。
http://ha.ckers.org/blog/20070719/firefox-implements-httponly-and-is-vulnerable-to-xmlhttprequest/