不正なJavaScriptによるダイアログの表示サンプル

Security 6月 26, 2005
(Last Updated On: 2018年8月3日)

先日IEの仕様ですに書いた問題とはどういう物か、百聞は一見にしかず、実際に見るのが良いと思います。

Secunia(ここからのアドバイザリは多いですね)がレポートした問題で、この不具合の動作をテストするページも用意されています。どういう訳かニュースサイトなどではこのURLが紹介されていない場合が多いようなので紹介する事にします。

http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/

このページの

Start the test:
Test Now – Left Click On This Link

「Left Click On This Link」を未対策のブラウザでクリックするとパスワード入力を要求するダイアログが開きます。

ポイントは「Left Click On This Link」は http://www.google.com/ にリンクされていること、クリックした後のダイアログ表示動作がいかにも http://www.google.com/ からのダイアログの様に表示されてしまうことです。どんなにセキュリティに精通したWeb開発者がWebサイトを開発してもこの攻撃に対処できません。ブラウザ側の問題だからです。
# 「このサイトはポップアップを利用していません」と注意を促すことは
# できますが、対策とは言えないでしょう。

これにユーザが騙されるか? というリスクへの対策が今問われています…
送信元が不明なダイアログやWindowの利用は注意してください、と言うだけでは不十分であること明らかではないでしょうか?

しかも、この問題を悪用するのは簡単です。
ほんの少しJavaScriptを知っていれば誰でも悪用できます。

投稿者: yohgaki