Mozilla Foundation セキュリティアドバイザリ 2005-24
- タイトル
- HTTP 認証プロンプトによるタブの偽装
- 重要度
- 低
- 危険度
- 低
- 報告者
- Christian Schmidt
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.1
- Mozilla Suite 1.7.6
概要
HTTP 認証プロンプトは、その認証が要求されているタブに関係なく、現在開かれているタブの上に表示されます。攻撃者が、機密情報を扱うサイトを別のタブに開かせて、ユーザの ID やパスワードを盗み取る可能性があります。HTTP 認証ダイアログは、たいていの商用サイトで使われている Web フォームのログイン画面とは視覚的に区別でき、認証を必要とするホスト名もはっきりと表示されます。実際には、この問題が利用される可能性は低いと思われます。
回避策
- 信用できるサイトとできないサイトを同じセッション内で開かないでください。
- サイトのログインダイアログが表示された場合、それが本当にそのサイトのダイアログかどうか、よく確認してください。