ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップロードできたと報告しています。
研究チームによると、今回特定された不具合は拡張機能がウェブページの内部コードにアクセスする方法に起因しているとのこと。多くのサイトは、HTMLなどで記述されたドキュメントをプログラムで操作できるようにするドキュメントオブジェクトモデル(DOM)という仕組みで動作していますが、拡張機能がこのDOMツリーに無制限にアクセスできてしまう問題により、ソースコード内にある機密データが容易に抜き出せるようになっていると研究チームは説明しています。
Googleは2023年に「マニフェスト V3」という仕様をChromeに導入し、拡張機能がアクセス可能な情報の種類に厳しい制限をかけましたが、マニフェスト V3は拡張機能とウェブページの間にセキュリティ境界をもうけていないため、問題の解消には至っていません。
研究チームは論文に「GoogleやAmazonなどの主要なオンラインマーケットプレイスは、クレジットカード入力フィールドに対していかなる保護も実装していません。これらのウェブサイトの規模と取引量を考慮すると、これらのウェブサイトが保護されていないことが特に懸念されます」と記しました。
https://gigazine.net/news/20230907-chrome-extensions-steal-passwords/
- これホント?怖いんだけど
- でしょうね
- コード書いたやつが攻撃者だろ
- 2ファクタ認証
- >>5
ほんこれくしょん - よくわかんない
でも大きい会社だから安心安全! - なんでDOMにパスワードが入ってんの?
「パスワードを表示」にした時? - >>9
ユーザーがインプットフィールドにパスワードを入力した時じゃなお
機能拡張作ったことないけど、キーイベントとかからアクセスできるんでは - まぁそのHTMLを読めないとだめだし
セッションハック前提話じゃ - >>10
だな
そいつの真横にいてパスうったあとに席外したときを狙ってみたいな特殊なケース - ブラウザ拡張機能ってそのうちFLASHと同じく駆逐されるんだろうか
- パスワードでログイン
もはやこれが時代遅れ
- これを厳密に規制するとサードパーティのブラウザ拡張機能そのものがなくなるし
諸刃の剣だね - まあ怪しげな拡張入れるなってことだよな
- 拡張機能って最近入れなくなったな
- 知らん人用に書いてある保存て表現が嫌い
入力フィールドやなんかから一時格納されるのがDOMに平文ってだけだろ
はるか太古から連綿と続いてることで今更じゃない? - 某携帯キャリア会社と契約後
絶対にどこにもそのメールアドレスで登録してないのに
その日のうちに山程反社のフィッシング詐欺メールが届き
速攻でメールが1000通(全部スパム)埋まった - パソコンあんまり詳しくないんだけどパスワード忘れちゃってサイトのパスワード再送機能使ったら貴方の登録したパスワードこれですよってメールで教えてくれた
これやばいの? - >>19
パスワード再送できるって事は平文でパスワードをDBに入れてるから意識低いヤバイサイト - >>23
それは厳密に言うと違うと思う
復元可能な暗号化でdbに保存しててもいい - >>26
ヤバ過ぎ🌿
復号できないソルト付きのSHA512程度でハッシュ化するのが当たり前 - いつも思うけど、この手の脆弱性は、発見したら、
重要な政府や企業等に告知して、それらが対応してから、
発表して欲しいクラッカーに情報を渡してるようなもんじゃん
- 入力フォームのイベント監視してたら取れるくね。
- こんなんあたりまえでは?
- しょっちゅうこんなんあるな
そらみんな情報抜かれるわけだわ - 大手企業や官公庁のソースの問題なの?
ぱっと見拡張機能の仕様とChromeウェブストアの審査の問題に見えるんだが - 2FAしてるから漏らしても安心なんだわ
- >>28
リアルタイムでパスワード、パスフレーズ送信すればいいんじゃがある - 拡張機能のアクセスを特定の要素についてのみ拒否する方法ってあるのかな
- 2chの1枚のテキストに全員のクレカ番号と期限とセキュリティコード書くような馬鹿じゃないだろ
- >>1
はあああああああああああああああああああああああああああああああああああああああああああああああああ😱
コメント