« FirefoxのinnerHTMLとMIMEタイプ | Main | POP辞書関連ブックマークレット »

Firefoxパスワードマネージャーの脆弱性

 Firefoxには、入力したパスワードをサイト毎に保存しておく機能があります。認証が必要なサイトでログインしようとすると、「パスワードマネージャー」がログイン情報を記憶するかどうかきいてきます。ここでパスワードマネージャーに記憶させておくと、次回ログインページを開いたときにはIDとパスワード欄が入力済みの状態で表示されます。

 この機能はとても便利なのですが、ちょっと問題もあります。

 ログイン情報を記憶させたページとは別のページであっても、同じドメインであればこの機能が有効になってしまいます。これは、ログイン情報がドメイン毎に記憶されるためです。

 例えば、 http://example.com/ にログインフォームが設置されているとし、ここでログイン情報を記憶すると、 http://example.com/hoge/hoge.html に設置された同様のフォームでも、IDとパスワードが入力済みとなります。

 これの何が問題かというと、このIDとパスワードはJavaScriptによって取得できてしまうのです。利用者が自由にHTMLやJavaScriptを設置できるサービス(ブログとか)があり、そのサイトでは同じドメインにログインフォームが設置されていたとしましょう。このドメインでログイン情報を記憶してしまうと、誰かが仕掛けたトラップによって、ID/パスワードが抜かれてしまう可能性があります。

 同様の機能はIEにも搭載されていますが、IEの場合は実際にIDを入力しない限り、パスワードが入力欄に復元されることはありません。また、同じドメインであっても別ページのフォームは、別のログイン情報と判断するようです。

 残念ながら、これはFirefoxの問題だと思います。IEのように別ページのフォームは別のログイン情報と判断するべきでしょう。この問題が認識されているかどうかわかりませんが、次期バージョンで修正されるとありがたいです。それまでは、少し慎重に利用したいと思います。

|

« FirefoxのinnerHTMLとMIMEタイプ | Main | POP辞書関連ブックマークレット »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/15602/2197267

Listed below are links to weblogs that reference Firefoxパスワードマネージャーの脆弱性:

« FirefoxのinnerHTMLとMIMEタイプ | Main | POP辞書関連ブックマークレット »