• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

「はてなツールバー」に重要なURL情報を盗聴される恐れ,最新版で解消

勝村 幸博=ITPro 2006/02/01 ITpro
「はてなツールバー」の問題点(<a href="http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77886599_hatena.html" target=_blank>IPAの情報</a>から引用)
「はてなツールバー」の問題点(<a href="http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77886599_hatena.html" target=_blank>IPAの情報</a>から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2月1日,「はてな」が提供する「はてなツールバー」には,ユーザーが入力した重要なURL情報を盗聴される可能性があることを明らかにした。SSLで保護されたWebページのURLであっても,暗号化せずに同社のサーバー(はてなサーバー)へ送信するためだ。影響を受けるのはバージョン1.5.4以前。1月27日に公開された最新版1.5.5では解消されている。

 はてなツールバーとは,はてな が提供するサービスを利用しやすくするためのInternet Explorer(IE)用プラグイン・ツール。同ツールにおいて特定の機能を有効にしている場合には,はてなのWebページ以外であっても,閲覧中のページのURLが はてなサーバーへ送信される。このことは同ツールの仕様であり,ユーザーにアナウンスしていることなので問題はない。収集した情報の取り扱いなどについては,同社のプライバシ・ポリシーのページにまとめられている。

 問題は,SSLで保護されたWebページにアクセスした場合である。URL情報にはセッション情報などが含まれる場合があるので,SSL通信では,やり取りするデータだけではなくURL情報も暗号化される。ところが,バージョン1.5.4以前の はてなツールバーでは,アクセスしているページがSSLで保護されていても,そのURL情報を暗号化せずに はてなサーバーへ送信する。このため,はてなツールバーと はてなサーバーの経路上でセッション情報を盗聴されて,セッション・ハイジャックなどを許す可能性がある(IPAでは今回の問題を図を使って解説している)。

 そこで はてなでは,SSLで保護されたWebページ(URLがhttpsで始まっているページ)のURLについては,URL情報を はてなサーバーに自動送信しないように仕様を変更した。このため,仕様を変更した最新版1.5.5にアップグレードすることが,今回の問題の対策となる。

◎参考資料
◆JVN#77886599 はてなツールバーにおける URL 情報の扱いに関する問題(JP Vendor Status Notes)
◆JVN#77886599:「はてなツールバー」における URL 情報送信に関する問題(情報処理推進機構)
はてなツールバー(はてな)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【だから相手を怒らせる】

    相手を怒らせてしまう7つのパターン

     「俺は要員の話をしているんだ!コストの話なんてしていない」――。SIベンダーのユー・エス・イーでシステム提案などを手掛ける宮原祐司氏(営業戦略推進本部 副本部長)は、かつてユーザー企業のシステム部長をひどく怒らせた経験がある。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る