Mozilla Japan ブログ

Mozilla、Firefox、Thunderbird の最新情報をお伝えします

個別記事アーカイブ

Firesheep に関する Mozilla セキュリティチームからのコメント

Web サイトにおけるセキュリティの弱点を浮き彫りにした、Firesheep という最近公開されたツールに関して、多くの反響が寄せられているようです。これは、攻撃者が公共のネットワークを使用している人たちの接続を傍受して Cookie を盗み出し、Facebook や Twitter などのサイトでその人たちのアカウントへログインする、つまり他人になりすますことを可能にするものです。Firesheep の作者は Firefox のアドオン API を使ってこのツールを開発しましたが、単体のプログラムとして開発、配布することも難しくないと思われます。

このようなツールが登場したことで、ユーザに安全な接続を求めるよう、サイト側で設定を行うことの重要性がより一層高まりました。

それほど前のことではありませんが、Firesheep のようなツールを使った攻撃者から Cookie を読み取られるのを防ぐために (実際の目的はそれだけにとどまりません) 役立てられる HTTP Strict-Transport-Security (HSTS) についてご案内しました。実際、これは Firefox 4 へ組み込まれます。この種の攻撃からユーザを保護するためには、Web サイトの運営者が、安全なログインページを提供する際に HTTP ヘッダ Strict-Transport-Security を設定し、それ以降のサイトへのアクセスを HTTPS で行えるようにするだけです。後は Firefox に任せてください。Firefox 4 は自動的に、安全な接続を通じてそのサイトを取得し、暗号化されていない通信が第三者によって傍受されるのを防ぎます。

Mozilla では、Web サイトの運営者に対し、ユーザを守るためにこのヘッダを採用することを推奨します。

ただし、この技術は Firefox 4 の新機能です。Firefox 3.6 で HTTP Strict-Transport-Security に対応するには、それを実装している Force-TLS などのアドオンを、ユーザの皆さん自身がインストールする必要があります。Force-TLS には安全でない接続を禁止するサイトを指定できる設定画面があり、この有益な HTTP ヘッダをまだ送信していないサイトにおいても、HSTS によって実現される付加的なセキュリティ機能を利用できます。NoScript にも HSTS とサイト別設定の機能が含まれています。しかしながら、ユーザ側で指定を行った場合、一部のページでまだ安全な接続に対応していないサイトは正常に閲覧できなくなる可能性もあります。すべてのサイトが安全な接続に対応できているわけではないことに留意してください。

Firefox 4 のベータ版もしくはナイトリービルドをお使いの場合は、STS UI というアドオンで詳細な設定を行えます。HSTS のコア機能は既にベータ版で実装されていますが、このアドオンは、接続の安全性をさらに確保する機能を上級者に提供します。

[これは米国 Mozilla Security Blog の記事 Cooling Down the Firesheep の抄訳です。文中の一部リンク先は英語になりますのでご了承ください。日本国内のサイト運営者の皆さんにも、文中にあるように HSTS の採用を推奨します]

前後の記事

前の記事: Firefox と Thunderbird のセキュリティアップデートを公開しました
次の記事: Firefox Developers Conference 2010 のプログラムを公開、参加申込受付は、11 月 1 日 11:00 から開始します!