雑記

◆ false positive? (続き)

"W32.Blaster.Worm has not been found on your computer"だそうです．そろそろ言っても良いでしょうか？ 「MSのアホー」

なんかこういうことされると，報告する気が失せますねぇ．ただでさえこちらのコンピュータの情報を送信すると言うリスクを強いられているのに．

◆ 現状の IE は危険すぎて使いものにならない (セキュリティホールmemoより)

アドレスバーやステータスバーの表示内容を偽装できるそうです．なぜこれが非常に危険かと言うと，たとえば，今これを読んでいるあなたが実際にはwww.on-sky.netではない，よく似せた偽ページにアクセスしていても分からないということです．このページならまず問題にはなりませんが，もしオンラインショップがターゲットにされたらどうなるでしょう？

もうひとつ，さらに危険なのはSSLで暗号化されているページさえ，この脆弱性を使えば偽装できてしまう可能性があると言うことです．まず，悪意ある人間が適当なドメインをでっち上げ，SSLサーバ証明書を取得します．で，どうにかしてターゲットサイトへのアクセスをこのサーバへと飛ばすように仕込みます．あとはこのサーバで，ユーザーとターゲットサイト間の通信を中継してあげます．悪意あるサーバに対してSSLサーバ証明書を発行した認証局のルート証明書が，IE標準のTrusted CA Listに含まれていれば，「偽者かもしれないよ〜ん」というサーバ証明書に関する警告は出ない()ので，引っかかってしまったIEのユーザーが，間に悪意のあるサーバが介在していると認識できる可能性はかなり低いでしょう．結果，このサーバを立てた悪意ある人間は，ユーザーが入力した個人情報やクレジットカードの番号を抜き取ることが出来ます．

これがいわゆるSSL MITMというやつです．先日，SSL MITMについて書いたときには，この点（アドレスバーの偽装が難しい）をクリアするのが難しそうだったので，別シナリオのほうが現実味があると思っていたのですが．．．

言わずもがなですが，この脆弱性を使えばSSLでないMITMなんてお茶の子さいさいです．いろんなところに○○を××して，☆☆を△△させ，あとはただひたすら□□すれば，何でもできちゃうなぁ．(あまりにも現実的な手法だし，実際にやる人が出てくると困るので伏字．)