2008年01月27日

アカウントハッキング対策(2)〜NoScriptを使ってiframeタグを禁止してしまおう〜ラグナロクオンライン

このエントリで扱う話題は、Firefoxブラウザをお使いの方限定です。
ROに限らず、セキュリティを意識される方はIE以外のブラウザの使用をお勧めいたします。「脆弱性皆無」なブラウザはもとよりありませんが、幾分でもマシです。)

ネットゲームのアカウントハッキングに限らず、最近流行している深刻な被害をもたらす悪意プログラムの傾向として、「JavaScriptを悪用する」ものが増えてきています。

[参考]
Webサイトに多数被害、SQLインジェクション攻撃が猛威をふるう (ITmedia News)

HDDをフォーマットするブラクラ まとめwiki

もちろんIEでもJavaScriptのオン/オフ設定はできますが、多くのブログやネットサービスがJavaScriptの機能を利用していることも事実で、オフにしていると閲覧に支障をきたすこともままあります。

「NoScript」は、「JavaScriptを原則オフ」にし、許容する機能・許容しない機能の細かい設定をした上で、「信頼するサイトでのみONにする」ことのできる便利なアドオンです。

入手元は
・「NoScript :: Firefox Add-ons」で「インストール」ボタンをクリックする
のがもっとも分かりやすいでしょう。

一応公式(英文)も紹介しておきます。

インストール後、Firefoxを再起動すると適用されます。

JavaScript使用のオン・オフはFirefoxのオプション機能でも切り替えられますが、このアドオンではさらに細やかな設定が可能になります。
また、Firefox側でオンにしていたとしても、NoScriptの挙動と設定が優先されます。

サイトやドメイン単位で、「信頼できる」と許容設定(ホワイトリスト)できるのですが、便利なのは「一時的に許可」が選択できることです。
たとえば

「abc.com/1234/」
は信頼できることが分かっているけど、それ以外のサイト、たとえば
「abc.com/7890/」
は安全かどうか分からない


というような場合にホイホイ「abc.com」を許可してしまうのは不安だ…ということもあるわけで、そんなときには

・右クリックメニューから
 「NoScript」→「[URL]を一時的に許可」をクリックする


あるいは

・非表示になった部分(NoScript特有のマークが出ます)をクリックし、「一時的に許可」

すれば正しい表示で見ることができます。



アカウントハック防止の観点から注目したいのは、

「オプション」→「PlugIn」
  →「<iframe>の禁止」


という設定項目です。
ここはデフォルトではオフになっています。
以前の記事でも書いたとおり、アカウントハック用罠URLの常套手段(あくまで今のところ)は、
「サイズ0のiframeタグを忍ばせて、ハックの仕込まれたURLへ転送する」
ものです。
他の有害スクリプトでもよく悪用されるものの一つです。

この項目のチェックを、思い切ってオンにしてみました。
これで罠URLを踏まされた場合でも、iframeタグを実行しませんので、かなり強力な防御策になります。

iframeタグはさまざまなデザイン用途に用いられます。
実際目にするものでよく使われるのは、広告バナーやブログパーツ、画像やリスト(新着リスト)の表示などです。
これを禁止するのはかなり厳しい設定になります。
そうすることで、さぞかし見れなくなるページや表示が崩れるサイトが出てくることだろう…と思ったのですが、意外や意外、思った以上に困りません。

むしろInfoseek系無料サイトの上下に表示される、デカくてウザったい広告+新着ニュースバナーや、一部の重いブログパーツ、宣伝ブロックなどが表示されなくなるので、サイトによってはむしろ快適といえるものも。
通常よく使うサイト、危険でないとわかっているサイトにはまたブログデザインの見栄えが変わってしまった(テンプレート内や記事内の画像が表示されない)「許可」処理をすれば問題ありません。

あとは自分の用途に応じて制御の甘辛加減を調節すればOK。
セキュリティ(特にアカハック)を意識する場合には、前述のようにiframe禁止設定をお勧めします。

NoScriptアドオンを導入すると、ブロードバンド環境ではさほど気にならない程度ではあるが、ページの読み込み挙動が少し遅くなる。
また、ホワイトリストが増えすぎると動作が重くなるという話もあり(けっこう前の記事なので改善されているかもしれませんが…)
[参考:Firefoxを遅くしていたのはオレでした!|(SiteBites Blog)]

Firefoxユーザーで、「JavaScriptがヤバいのはわかってるけど、不便になりそうで…」と迷っている方、そうでない方もとりあえず入れておくのをお勧めしたいアドオンです。

<注>
言うまでもなく、Webを経由する「悪意ある仕掛け」は多種多様で、これからも新手のものが出てきますので、JavaScriptやプラグインを制御しただけで安全が保障されるものではありません。
どの対応策についてもいえることですが、決して過信はしないでください。

ただし、既知のJavaScript関連の脅威に対してはかなり有効であり、現在のアカウントハックの罠手口への防御策として「最低限備えておきたい」項目であることは確かです。
posted by 大道寺零(管理人) at 04:47 | Comment(2) | TrackBack(0) | ラグナロクオンライン
この記事へのコメント
自分のブログの表示(サイドメニューの折り畳みが無効化されちゃうw)がやばいけど、FC2に許可はあまり出したくないですし、安全が一番ってことで早速導入してみました。
動作の遅さはあまり気になりませんね。
Posted by クマ at 2008年01月28日 10:18
>>クマさん

もっと早く導入していればよかったと後悔仕切りです。ラグが気にならない程度であれば何よりでした。
メッセージでもお送りしたとおり、オプションの「インターフェース」→「フルドメイン」で指定しますときめ細かい許可設定が使えるので、fc2に限らず、レンタルサービス上にご自身のサイトやブログがある場合には便利かと思います。
Posted by 大道寺零 at 2008年01月29日 15:19
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。