FirefoxなどのブラウザでID,パスワードが盗み取られる脆弱性があるらしい。
気になるツイートを見つけた。
ブラウザのautofillを使ってパスワードを盗むデモ。
— ると (@cocoa_ruto) 2017年12月29日
Firefoxの場合はabout:configからsignon.autofillFormsをfalseにする事で防げるんだけど、設定UIからは変更できない?
ちなみに昔あったSecure Loginという拡張は、DOMに入力せずに自前でリクエスト投げるのでXSSに強い。 https://t.co/zsrTKez4TT
問題の記事はこれ。
No boundaries for user identities: Web trackers exploit browser login managers
FirefoxにはIDやパスワードを保存し、次の入力時に自動的に入力できるようにする機能がある。
どうもこれを利用してID、パスワードというログイン情報を外部へ送ってしまうらしい。
ざっとしか読めないので、ところどころ違うかも知れないが、おおむね以下のような感じだと思う。
当然、最初はログインし、そのときの情報を保存する。
そのサービスのサイトとは別の、悪意のあるサイトへ行ったときに、そのサイトがログインのフォームを見られない形で埋め込む。
するとFirefoxのログイン情報を管理する機能(ログインマネージャ)がそのログインフォームを検知して、ID、パスワードを入力してしまう。
すると、Javascriptがそれらの情報を読み取り、外部のサーバーへ送信してしまうというのである。
ただし、Chromeはログインの入力欄をクリックするまでは、オートフィルしないので見えない形で埋め込んでいると動作せず、この脆弱性はないらしい。
追記
Chrome doesn’t autofill the password field until the user clicks or touches anywhere on the page.
なので、ページのどこかをクリックするまで作動しないというのが正しいようだ。
追記終わり
また、どうやらパスワードを盗みだすことはできていないのか、50,000サイトを調べた範囲では盗んだ形跡は発見できなかったらしい。
しかし、IDとして多くのサイトで利用されているEメールアドレスは盗まれているようだ。
その脆弱性を利用したスクリプトを使っているサイトのリストも紹介されていた。
それらのサイトで利用しているスクリプトはほぼ2つで、
- Adthink (audienceinsights.net)
- OnAudience (behavioralengine.com)
Adthink (audienceinsights.net)は、ユーザーの誕生日や体重などをカテゴライズするようなスクリプトがあるようで、ログイン情報を盗み取ったあと、そのログイン情報を使ってそれらのカテゴリに該当する情報を盗み取ってリストを作っているのかも知れない。
また、OnAudience (behavioralengine.com)の方は、ブラウザにインストールされているプラグインや、使っている言語や、使用しているモニタの画面解像度、OSやCPUなど色々な情報を集めているようだ。
盗んだEメールアドレスを利用して、上にあげた情報を紐づけしてデータベース化しているらしい。
今の所、これを防ぐ方法は、オートフィルを無効にすることしかないようだ。
Firefoxではabout:configでsignon.autofillFormsをfalseにすることだ。
また、面倒だと思う人もいるかも知れないが、メニューから表示できる設定で、フォーム入力情報やログイン情報を記憶しないようにすればそもそもオートフィルする情報が記憶されないので大丈夫だろう。
個人的に、パスワードは一回一回、パスワードは手で入力することにしている。
サイトに関連したルールを作って、それを反映させたパスワードを作ることにすれば意外に簡単にパスワードを複雑化することができる。
そうすれば覚えるのも難しくはない。
ある日のAbemaTV(アベマティーヴィー)のコメント欄
今、AbemaTVでアルフを放送している。
先日、アルフを見ていたらコメントにゴディバチョコの話をする人がいた。
どうもその前の放送のフルハウスの頃からちょっと話題になっていたらしい。
ゴディバチョコが美味しいというものだったが、その話にのってきた一人が「学校にゴディバを持っていったらあるお母さんがゴジバと言っていた」というような話をした。
その後も、「普通、ゴジバって言う?その人の子供も成績が良くないみたいだし」などというコメントをし、「私は海外に頻繁に行くからゴディバを良く食べる」などと言う。
当然、他の人から批判的なコメントが出た。
すると、「自分が何故、批判されるか分からない。そういう人はゴディバ食べたことあるの?」というようなコメントをし始めた。
「私の夫はPCにくわしいから、批判した人のことが分かる」「批判した人は通報しました」などのコメントもあった。
そんなことを言い続けるので、最後には「ゴディバおばさん」「ゴディババア」などというニックネームがつけられてしまった。
PCに詳しい人は、視聴ユーザーのIDが分かるという情報もあるが、基本的には誰がどのコメントをしたのか分からない。
だから、途中からは別の人が本人になりすまして釣りコメントをした可能性もある。
AbemaTVは、以前から汚い言葉が使われたり、ニートを馬鹿にするコメントがあったりして、良く荒れる。
ブロック機能がアプリ、PCに搭載され、内部的にNGワードが設定され、発言が半自動的に制限されるようになった。
しかし、上で書いたようなタイプの荒らしはNGワードではどうにもならない。
こればっかりは受け入れるより他ないのだ。
上のような荒らしは防げない上、NGワードのせいで番組についての質問など荒らしではないコメントもできないことが多い。
NGワードがかなり害悪だと思う。
荒らしを嫌がる人がいるのはもちろんだが、これが行き過ぎて、見ている番組と関係のない話を全て荒らしと認定して叩く人間も出てきている。
特にフルハウスは内容に感動する人がいるわりには、コメントに不寛容で排他的な人が多く、「フルハウス民は・・・」と言われて他の人から嫌われている。
これが、AbemaTVの日常なのである・・・。
AbemaTVのコメント欄には面白い動きも沢山あることはある。
「フルハウス」の"Shoo-bit-a-ba-ba-bow"というスキャット部分が"熟女パッパラー"に聞こえるという人がきっかけでそれをOPのたびにコメントする熟女隊。
このスキャットはScoubidouと綴るらしいが。
「Xファイル」のOPの口笛に合わせて「♪~(゜ε゜( )」「( ・з・) ~♪」などのコメントをする口笛隊。
韓国ドラマの「天国の階段」のBGMに合わせてコメントする、どんつく隊、鼻歌隊。
いくらかまとまった量の水が出て来るシーン(プール、風呂など)で「ごくごくごくごく・・・」などと飲み干すようなコメントを投稿する、ごくごく民。
なかなか面白くて個人的には好きなのだが、人によってはこれらも荒らしと認識される。
もう少し、本質的な荒らしが減れば、コメント欄も寛容になるかも知れない。
Android-x86 CM 14.1を試した
ちょっとここのところ、調子が悪くて全然、記事が書けなかった。
1ヶ月前になるが、Android-x86にCyanogenModベースの新しいバージョンが公開されていたので試してみた。
ReleaseNote CM-x86-14.1-rc1 - Android-x86 - Porting Android to x86
以前、記事にしたようにCyanogenMod自体は開発が終了したらしく、正確にはCyanogenModからフォークして開発されているLineageOSがベースである。
早速、試してみたが、Live起動はできるものの、インストールするとコンソール画面で止まってしまった。
駄目かと思ったが、もう一度起動したら何故かうまく動いた。
カーネルが4.9.54だったので、Puppy Linux(XenialPup)と同じように、カーネルオプションにintel_iommu=offを追加したせいかも知れない。
上の画像が、起動して、幾つかアプリをインストールして動かしてみたスクリーンショット。
Taskbarというデスクトップ画面のようなLauncherアプリと、freeform window modeというアプリを全画面ではなくウィンドウ表示できる機能のおかげで、デスクトップPCのような見た目になっている。
しかし、きちんと対応できていないアプリもあるようだ。
Firefoxでは、通常であれば表示されるページ再読み込みボタンが無い。
読み込み中止ボタンはあるのだが。
さらに色々いじると、メニューを表示する3つの点のアイコンの上にバツ印が出てきて操作不能になってしまう。
このスクリーンショットをはてなブログにアップロードしようとすると、Firefoxで録音を許可するか、画像などのデータへのアクセスを許可するか、写真撮影を許可するかを個別に設定できる。
個別に設定できるのだが、結局、全ての許可をしないとアップロードできなかった。
また、AbemaTVでコメントが入力できない。
正確には入力はできるがエンターを押しても投稿できない。
仮想キーボードを表示させて、そのエンターボタンを押すと投稿できる。
それ以外にも、ベースとなっている7.1-rc2のバグがいくつかあるようだ。
しかし、結構、快適に使える。
これがもう少し上手く動くようになると、開発が終了してしまったRemix OSの代わりに十分なり得る存在になりそうだ。
まだ少ししか試していないが、同じくAndroid-x86ベースで開発されているBliss OSもなかなか使える。
スマホやタブレットなど色々なデバイスのROMが用意されており、PC用もその1つということのようだ。
こちらはコンソールで止まってしまうようなおかしな挙動もなく、すぐに起動する。
久しぶりにAndroid-x86に触ってみたのですが、色々進んでいておもしろい。
Chromebookでもタッチ対応のものではAndroidアプリが動くようになっているが、この機能はChromiumOSには使えないので、古いPCを蘇らせようと思ったらAndroid-x86か、RemixOSのようなものが重宝する。