本頁作成日: 2003年9月18日
最終更新日: 2009年7月17日

ダイアログを表示しましょう



 例1

検索エンジン利用や掲示板書き込みなど、
日常、ちょっとしたことで出てくる、
このような確認ダイアログボックス。

クリックをすると、原寸大で表示します。

この例は、キーボードから入力したデータ(文字列)を
(SSL などを介さないで)第三者がアクセス可能なリモートコンピュータに
送信しようとすると表示されます。
これは、送信先が Web の公開ディレクトリなどにあるので、
万一でもユーザーに関する個人情報などが含まれると好ましくないので、
念のため訊いてきたわけです(SSLでさえ、悠長なこと言ってられないかも※3)。

このダイアログボックスは、「インターネット オプション」 → 「セキュリティ」 タブ
→ 「インターネットゾーン」の中の、「暗号化されていないフォーム データの送信」
の設定に関するものです。デフォルトでは、「ダイアログを表示する」が
選択されているでしょう。

もし、ユーザーが『このダイアログがウザい!』 と、
「今後、このメッセージを表示しない」にチェックを入れて
[OK] してしまったとしましょう。
すると、以降、確かにこのダイアログボックスは表示されませんが、
その代わり、「暗号化されていないフォーム データの送信」の設定は、
ユーザーが一考する余地なく、「有効にする」に変更されることになります。



 例2

同様にして、Cookie の場合です。

クリックをすると、原寸大で表示します。

Cookie は 各Webサイトがユーザを識別するための情報が書かれたファイルで、
使用許可すると、ユーザのコンピュータ内に、各Webサイトごとに保存されます。
同時に各Webサイトは、その情報と対になる「特徴書き」をサーバー内に保管します。

「特徴書き」の内容は、通常はセッション内で送受信されたものに限られるはずですが、
相手が信頼できるサイトでないならば、使用許可しない方がよいのかもしれません。
“Cookie”+“追跡”あるいは、“Cookie”+“漏洩”で Web検索してみましょう。


このダイアログボックスは、「インターネット オプション」 → 「セキュリティ」 タブ
→ 「インターネットゾーン」の中の、「Cookie」の設定が反映されています。

もし、ユーザーが『このダイアログがウザい!』 と、
「今後、このメッセージを表示しない」にチェックを入れて [OK] とすると、
以降、確かにこのダイアログボックスは表示されませんが、
その代わり、

「コンピュータに保存されている Cookie の使用許可」
「セッションごとの Cookie の使用許可 (保存なし)」

などの設定は勝手に「有効にする」に変更されてしまい、
(制限付きサイトに登録しない限り)すべてのWebサイトにおいて、
ユーザーの許可なしに Cookie が利用されるようになります。


・・・このように、ダイアログボックスへの応答のしかたで、
システムの設定が変わってしまうことはよくある話です。



 例3

アクティブ スクリプト の場合です。Microsoft 社の Internet Explorer では、
JavaScript および VBScript を特に、「アクティブ スクリプト」と呼んでいます。


クリックをすると、原寸大で表示します。

このダイアログボックスは、「インターネット オプション」 → 「セキュリティ」 タブ
→ 「インターネットゾーン」の中の、「アクティブ スクリプト」の設定が反映されています。

ダイアログボックスに『スクリプトは通常、安全です』 などと書かれていたりしますが、
はたしてこれは本当でしょうか※4

ネットサーフィンしていて、ブラウザの [戻る] ボタン(あるいは Back Space キー )が
突如として利かなくなったり、沢山のウィンドウが開いてしまって後戻りできなくなったり...
そんな経験はありませんか?これは案外、アクティブ スクリプトの仕業だったりします。
酷い時は、OS やブラウザの設定が改竄されてしまうこともあるかもしれません(※1)。

ダイアログボックスを表示させてやって、不要なスクリプトの実行を阻止することで、
こういったトラブルから脱出できる場合があります。

出て来るダイアログの [いいえ] ボタンをクリックして、アクティブ スクリプトの実行を
ことごとくキャンセルしていった場合でも、結局は正常に表示できてしまう Web ページ。
そんなページが意外に多くて驚きませんか?
如何に見る側には不要、そして危険なスクリプトが仕掛けられていたことでしょう。



 例4

ActiveX コントロール の場合です。

クリックをすると、原寸大で表示します。

このダイアログボックス(一例)は、「インターネット オプション」 → 「セキュリティ」 タブ
→ 「インターネットゾーン」の中の、「ActiveX コントロールとプラグイン」の設定が反映されています。
Windows や IE のバージョン/設定などによって、表示されるダイアログボックスの形態には
多少の違いがあります。

「TOPページが表示できない!」「動画が見られない!」「チャットができない!」
そういった時に Web サイトを作った管理人さんに質問すると(※2)、まず間違いなく
勧められるのが、『「ActiveX コントロールとプラグインの実行」の設定を有効にして!』
ですね。ところで、これって、そんなにホイホイと勧めてしまっていいものなんでしょうか?

確かに、TOPページから (通称)フラッシュムービーを使っているようなサイト、
あるいはレイアウトの関係上で (通称) フラッシュを使っているようなサイトでは、
ActiveX コントロールのダウンロードと実行を許可しない限り、コンテンツの正常な表示は
できないでしょう。しかし、実は、ActiveX コントロールが常時許可されているような PC は、
まず間違いなく第三者にシステムのどこかを(ユーザーの望まない方向に)弄られている
手っ取り早く言えば、PC が知らない誰かに乗っ取られている。そのくらいに危険なお話なのです。

 
2
たまに、サーバーの仕様で広告が必ずどこかに入り、それにフラッシュムービー等が
使われている。といった話もありえます。必ず、サイトの管理人さんに確認してから
そのサイト(コンテンツ)に ActiveX コントロールを許可するかどうかを判断しましょう。

大手企業の Webサイトでさえ見受けられるのですが、TOPページくらいは非 ActiveX、
そして、「次ページからフラッシュムービーを使います(要:ActiveX コントロール)」
くらいの宣言はしましょうよ(半怒)。





「インターネットゾーン」は、ダイアログボックスを表示させましょう。
もしも『このダイアログがウザい!』 というほど頻発するのであれば、
表示させなくするのではなく、今のアクセス先が求めていることが
どういうことなのか、ダイアログボックスから理解しましょう。

もし、アクセス先が日常よく利用している信頼の置けるサイトであれば、
(自己責任の下で)「信頼済みサイト」に登録し、
その中で、規制を見直しするようにしましょう。

逆に、なぜ、このようなダイアログボックスが出てくるかわからない、
得体の知れない、信頼のあまり置けないサイトであると思うならば、
(自己責任の下で)「制限付きサイト」に登録し、
その中で、規制を強化するようにしましょう。



リンク先は当サイト外です。 Microsoft Internet Explorer/ ホーム より:

  Internet Explorer でセキュリティを確保する
  http://www.microsoft.com/japan/windows/ie/using/howto/security/settings.mspx

  Web 上でのプライバシー
  http://www.microsoft.com/japan/windows/ie/evaluation/overview/privacy.mspx

  セキュリティ ゾーンの設定
  http://www.microsoft.com/japan/windows/ie/using/howto/security/setup.mspx

  デジタル証明書の使用
  http://www.microsoft.com/japan/windows/ie/using/howto/digitalcert/using.mspx

  Internet Explorer の使い方
  http://www.microsoft.com/japan/windows/ie/using/howto/default.mspx



    | Internet Explorer 6 では、
    | 訪問サイト側のプライバシーポリシーに応じて、
    | Cookie を使用するか拒否するか、細かく設定できるようになりました。
    | (設定:インターネットオプションのプライバシータブ)
    |
    | ただこれは、サイト側が公表するポリシーを鵜呑みにするような機能なので、
    | 怪しいサイトほど、『私は怪しくないです。』
    | と主張してくることを念頭において利用しなければならないでしょう。
    |
    | サイト側が公表するポリシーは、 表示 → プライバシー レポート で確認できます。

 
1
リンク先は当サイト外です。 独立行政法人 産業技術総合研究所
高木浩光 さんの Webサイト「高木浩光@自宅の日記」より:

  警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性
  http://takagi-hiromitsu.jp/diary/20050722.html

  「セキュリティ屋」がセキュリティを駄目にした
  http://takagi-hiromitsu.jp/diary/20050801.html

  誤解される「自動的にダイアログを表示」の意味
  http://takagi-hiromitsu.jp/diary/20050918.html



リンク先は当サイト外です。 Computerworld.jp
JavaScriptボットネット・コードがインターネットに流出
Webブラウザを攻撃者のツールに変質させる
http://www.computerworld.jp/news/sec/61804-1.html


リンク先は当サイト外です。 IT Media
正規サイトに不正Flash広告掲載か:
URLをコピペしたら悪質サイトに――乗っ取り被害が続出
クリップボード機能の乗っ取り被害の報告が相次いでいる。Windows、Macユーザーの両方が被害に遭っているもようだ。
http://www.itmedia.co.jp/enterprise/articles/0808/20/news033.html

 
2009.07.17
リンク先は当サイト外です。 エフセキュアブログ/ hilyati_alia氏(翻訳:F-Secureスタッフ 中野 恵美子氏)/:
アップデートしたブラウザにお馴染みの攻撃
   |Firefox 3.5が入手可能になり、現在までに世界で2400万回ダウンロードと、
   |すごい速さでホットなダウンロードアイテムとなっている。〜〜
   |〜〜我々の脆弱性アナリストの一人が先日、このビデオを見つけた。
   |同ビデオのタイトルは「Firefox エクスプロイト」となっているが、
   |我々が分析した限り、このエクスプロイトは実際にFirefoxを標的としてはいないようだ。
   |
   |・CVE-2009-1136
   |・CVE-2008-0015
   |・CVE-2008-2463
   |・CVE-2007-0071
   |
   |〜〜よってブラウザ、あるいはWebアプリケーションのバージョンが何であれ、
   |既知の悪意あるWebサイトにはアクセスしないことが大切だ。
http://blog.f-secure.jp/archives/50256177.html


2009.05.06
リンク先は当サイト外です。 ZDNet Japan
アドビ製品のセキュリティ問題に苦しめられる企業
Adobe ReaderおよびAcrobatにはゼロデイ脆弱性が存在しており、
Adobeはパッチを公表するまでは一時的にJavaScriptを無効にするようユーザーに呼びかけている。
しかし、企業環境ではこの対策は役に立たないという声が上がっている。
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20392684,00.htm

 
2009.01.03
リンク先は当サイト外です。 スラッシュドット・ジャパン
SSLで使われる証明書の偽造に成功、200台のPS3でMD5をクラック
   |TechCrunch Japaneseで日本語の記事が出ているが、HTTPSで通信を行う際に使われる公開鍵証明書を偽造することに成功したそうだ。
http://slashdot.jp/security/article.pl?sid=09/01/02/0928204




その他: インシデント抜粋 ]

目次へ戻る