Webブラウザの閲覧履歴や閲覧中のサイトのソースコードを盗む新手法

taraiok 曰く、　これまで、多くのセキュリティ研究者たちがJavaScriptやIFRAMEの抱える弱点と問題点について警告を行ってきた。今回、英国の研究者Paul Stone氏が新たに発見した問題はこれまで以上に深刻な内容であるようだ。発見されたのはJavaScriptを利用して、指定したURLを過去に訪れているかどうかや、そのWebブラウザで閲覧しているサイトのソースコードを読み取ることができる技術だという（threatpost、本家/.）。

　攻撃者はユーザーがログインしている任意のWebページ上のソースコードへのアクセスを取得でき、ユーザーIDや個人情報などすべての種類の機密情報を取得できる。Paul Stone氏によれば、この問題を防ぐための簡単な修正手段は今のところないという。

　threatpostの記事によると、Stone氏が発見した問題点は2つあり、1つは「すでに訪問したURLへのハイパーリンクは、未訪問のURLへのハイパーリンクよりもその描画速度が遅くなる」という点。これを利用し、ハイパーリンクを描画するのに必要な時間を計測することでそのURLにユーザーが過去訪れているかを判別できるという。

　もう1つは「SVGフィルタを利用することで、Webブラウザウィンドウ内で指定した位置にあるピクセルの色を取得できる」というもの。これを利用することで、指定したIFRAME内の全ピクセル情報を取得できるという。これとページのソースを表示する「view-source」プロトコルを組み合わせることで、ユーザーのIDや個人情報などが含まれる可能性がある任意のページのソースコードを取得できるという。

　1つめの問題は、Webブラウザの動作原理に由来するものなので対処が非常に難しいという。また、2つめの問題はFirefoxでは修正されているが、Chromeでは修正されていないとのこと。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
W3C、ついに HTML5 仕様策定完了 2012年12月19日
JavaScriptを使わずにWebブラウザの閲覧履歴を盗む 2009年06月15日
楽天・ドリコムの行動ターゲッティング広告、HTML/CSS仕様の不備を突いて訪問先サイトを調査 2008年10月20日