page top
Mozilla Firefox Thunderbird の拡張あれこれ - MEMO
fxnew [New] Firefox 48.0.1 がリリースされました(16/8/18)
Thunderbird最新版 [New] Thunderbird 45.2.0 がリリースされました(16/6/30)
mozilla update  Firefox  Get Thunderbird 

INDEX


[to index]  [to top]
以下は原則日々更新されます

■(8/29) [New] MIME Confusion Attacks

この言葉は初めて眼にするものである.MIME というのは HTML を書くときに <style> には type="text/css" と書く必要があり、<script> だったら type="text/javascript"、また HTML5 の <video> には type="video/mp4"、type="video/webm"、type="video/ogg" などを明示的に書く.それを書かなくても画像の JPEG は "image/jpg" であり PING は "image/png" であると <img> タグで解る..それらを MIME-Type あるいは Content-type と呼んでいる.この二つは全く同じものではないようだがファイルの種類である.

ブラウザーは Web サイトで必要なファイルをそのサイトのサーバーに要求するがその際どんなファイルが来たのかを調べて表示したり実行したりする..その調べることを俗に MIME sniffing という.sniffing は嗅ぎ回るという意味である.と Mozilla Security Blog - Mitigating MIME Confusion Attacks in Firefox (Christoph Kerschbaumer Aug 26 2016) で知った.

ブラウザーは明示されている MIME-Type や HTML のタグやファイル自体の冒頭の何バイトかを読んでどんなファイルなのかや HTML のタグを調べてを嗅ぎ分ける.ところがサーバーが type をキチンと整理していれば良いが、例えば Web アプリケーションでファイルのアップロードが許されている場合、画像ファイルをアップロードしてもそれが実際画像ファイルかどうかを確かめていないような場合もある.実際は画像ファイルではなく悪意あるファイルであってブラウザーが要求した画像にその悪意あるファイルが含まれてしまうようなことが生じる.それが Cross-Site Scripting attack (XSS) であるかも知れないのだ.それを MIME Confusion Attacks (MIME 混乱の攻撃)と云うようだ.

その危険を避けるために Firefox 50 からスタイルシートやイメージやスクリプトが文脈から云ってその MIME-Type が違っていてサーバーからの応答 header が「X-Content-Type-Options: nosniff」を返す場合はそのファイルはブロックするのだという.それは詳しくは以下のような正しい Content-Type の一覧とは違っていればブロックするようになるという.

stylesheet の正しい Content-Types
text/css
images の正しい Content-Types
“image/”で始る文字列
scripts の正しい Content-Types
“application/javascript”
“application/x-javascript”
“application/ecmascript”
“application/json”
“text/ecmascript”
“text/javascript”
“text/json”

また、メニューの「ツール」→「Web 開発」→「ブラウザコンソール」では次のようにブロックしたと表示される.

クリックで拡大

https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/security/files/2016/08/xcto_console_message.png
[to index]  [to top]

■(8/28) Observatory

これは出たばかりの Mozilla の開発による Python で書かれた Web アプリケーションである.実物は Observatory by Mozilla にあってドメイン名を入力して「Scan Me」ボタンを押すと直ぐに解析結果が出てくる.

クリックで拡大

Hosted by Picasa

Https ではないとお話にならないと云った感じで評価が低くなる.幾つかの評価が点数化されて A から F の評価をする併し内容は素人にはよく解らない.Softpedia - Mozilla Launches Free Website Security Testing Service (Aug 26, 2016) で知ったのであるが開発者やサイト管理者やセキュリティーの専門家向けのものだという.

点数は 0 から 130 点での評価(マイナスも出る).評価の項目は以下の十項目である.

  1. Content Security Policy
  2. クッキー
  3. Cross-origin Resource Sharing
  4. HTTP Public Key Pinning
  5. HTTP Strict Transport Security
  6. Redirection
  7. Subresource Integrity
  8. X-Content-Type-Options
  9. X-Frame-Options
  10. X-XSS-Protection

とても厳しいテストで 130 万の Web サイトをテストしたが 91% は通らないとある.これを開発した Mozilla のセキュリティー技術者 April King によるとこれは大きな問題だという.尚、GitHub にソースは置いてある.

[to index]  [to top]