Mozilla Foundation セキュリティアドバイザリ 2008-17
- タイトル
- SSL クライアント認証に関するプライバシー問題
- 重要度
- 低
- 公開日
- 2008/03/25
- 報告者
- Peter Brodersen 氏、Alexander Klink 氏
- 影響を受ける製品
- Firefox
- SeaMonkey
- 修正済みのバージョン
- Firefox 2.0.0.13
- SeaMonkey 1.1.9
概要
ユーザに代わってクライアント証明書を自動的に選択する、SSL クライアント認証の初期設定が、クライアント証明書を通じたトラッキングを許してしまうことで、ユーザにとって潜在的なプライバシー問題になることが、Peter Brodersen 氏と Alexander Klink 氏によって個別に報告されました。すでに証明書を保有しているユーザの場合、証明書とその発行者の用途によっては、メールアドレスや氏名などいくつかの実際の個人情報 Web サイト側に知られてしまう可能性がありました。
Web サイトからクライアント証明書がリクエストされた場合は、ユーザに毎回確認を表示するよう、初期設定が変更されました。
回避策
オプションメニューから証明書の設定を変更してください (Windows では [ツール] > [オプション]、Mac では [Firefox] > [環境設定]、Linux では [編集] > [設定])。[詳細] タブの [暗号化] を選択します。[証明書] という項目の下にある [毎回自分で選択する] というオプションを選択します。