― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

返信する
ユーザー名:
件名:
オプション:
BBCode: ON
[img]: ON
[flash]: OFF
[url]: ON
スマイリー: ON
BBCode を無効にする
フォントサイズ:
フォントカラー
スマイリーを無効にする
URL を自動的にパースしない
ユーザエージェントを表示する
認証コード
KCaptcha by Nikita_Sp
   

トピックのレビュー - 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について
作成者 メッセージ
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
では、このトピックは追加書き込み可能な状態で置いておきます。
サムネイル画像についての意見等が有りましたら書き込みお願いします。
投稿記事 Posted: 2012年11月02日(金) 19:29
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
kiyo4_k さんが書きました:
バッキー さんが書きました:
えーっと、正直なところわりと簡単に読めちゃうと思いますよ。
読めてしまうんですか...私には読めないけど読める人には読めるということですね。(もちろん、先の投稿に書いたように元を知っている文字列なら私にも読めますよ)
まぁ、少し読み取りのコツはあるかもしれません。

kiyo4_k さんが書きました:
ところで、事例報告の内容は有り難くこのまま残しておきますが(編集して旬の問題にも置いておくとか)、このトピックどうしますか? 解決ではないのでマークしませんが、続けてもここでは進展はないのでこのまま置いておきますか。
危険だとか実際になにか有ったという人がレスを付けられるように...
ええ、他の方から書き込めるようにこのままがいいと思います。
投稿記事 Posted: 2012年11月02日(金) 08:17
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
バッキー さんが書きました:
えーっと、正直なところわりと簡単に読めちゃうと思いますよ。
読めてしまうんですか...私には読めないけど読める人には読めるということですね。(もちろん、先の投稿に書いたように元を知っている文字列なら私にも読めますよ)

バッキー さんが書きました:
とりあえず、先の投稿を編集して手順と画像を削除しました。
でも、サムネイル画像から簡単に情報を読み取ることができることに変わりは無いのと、Firefox13でサムネイル画像が保存されるようになってからずいぶん時間が経過してますので、私はかなり危険な状態だと考えてます。
了解です。
ところで、事例報告の内容は有り難くこのまま残しておきますが(編集して旬の問題にも置いておくとか)、このトピックどうしますか? 解決ではないのでマークしませんが、続けてもここでは進展はないのでこのまま置いておきますか。
危険だとか実際になにか有ったという人がレスを付けられるように...
投稿記事 Posted: 2012年10月31日(水) 20:38
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
kiyo4_k さんが書きました:
肉眼で読むだけでは私にはなかなか区別出来ない文字ですが、
これを、どれだけの人が読めちゃうかということですね。

えーっと、正直なところわりと簡単に読めちゃうと思いますよ。


kiyo4_k さんが書きました:
詳しく書いちゃうと悪いことしたい人にはやり方を説明することになっちゃうのでやめましょう。

とりあえず、先の投稿を編集して手順と画像を削除しました。
でも、サムネイル画像から簡単に情報を読み取ることができることに変わりは無いのと、Firefox13でサムネイル画像が保存されるようになってからずいぶん時間が経過してますので、私はかなり危険な状態だと考えてます。
投稿記事 Posted: 2012年10月31日(水) 00:30
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
バッキー さんが書きました:
kiyo4_k さんが書きました:
サムネイルの縮小率やアルゴリズムが分かれば元の文字が分かるかもしれませんね。

いえ、アルゴリズムは判らなくても以下の手順で元の文字は簡単に判ってしまうんですよ。
肉眼で読むだけでは私にはなかなか区別出来ない文字ですが、
これを、どれだけの人が読めちゃうかということですね。
詳しく書いちゃうと悪いことしたい人にはやり方を説明することになっちゃうのでやめましょう。


バッキー さんが書きました:
画像を添付したかったのですが、上手く動かなかったので画像のリンク先をご覧になってください。
インラインのボタンはまだダメかもしれません。下の添付欄からなら添付出来ます。
投稿記事 Posted: 2012年10月30日(火) 10:35
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
kiyo4_k さんが書きました:
サムネイルの縮小率やアルゴリズムが分かれば元の文字が分かるかもしれませんね。

いえ、アルゴリズムは判らなくても以下の手順で元の文字は簡単に判ってしまうんですよ。

==============================================
悪用されるのを防ぐために手順を削除しました [2012/10/31 00:18]
==============================================


画像を添付したかったのですが、上手く動かなかったので画像のリンク先をご覧になってください。
==============================================
悪用されるのを防ぐために画像を削除しました [2012/10/31 00:18]
==============================================

この例では小文字の o と q の区別が付きませんが、それ以外ははっきり判ります。
なので縮小されているサムネイル画像だからとって安心はできないと思います。


kiyo4_k さんが書きました:
バッキー さんが書きました:
# システムが変更になったせいか、mozillaZineが開かなかったりタイムアウトしたりでなかなか書き込めませんでした。。。
今日は サーバーのメンテナンスで18時過ぎまではサーバーが止まっていたはずです。また、新システムへの移行日はサーバーが動作している状態でしたが作業途中は 表示内容が不安定でした。お知らせのフォーラムにアナウンスが出ますから時々見てやって下さい。

御意。
投稿記事 Posted: 2012年10月29日(月) 10:28
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
バッキー さんが書きました:
確かにパスワードは入力した文字が塗りつぶされているので読み取れません。
でも、それ以外の英数字・記号・ひらがな・カタカナは文字種が少ないので、それらを並べてWebページを作ると簡単にサムネイル画像を取得できます。
そして、縮小後の文字パターンから、元の文字を推測するのはそんなに難しい話ではありません。

ちなみに、サムネイル画像はだいたい1/3ぐらいに縮小されていて、縮小のアルゴリズムはバイキュービック(かバイリニア)+量子化という感じですね。
下の画像は1000%ぐらいに拡大した画像ですが、「ユーザー名」という見出しと「kiyo4_k」、「パスワード」という見出しとマスクされたパスワードが有ります。サムネイルの縮小率やアルゴリズムが分かれば元の文字が分かるかもしれませんね。
添付ファイル:
2012-10-28_kiyo4_k.png
2012-10-28_kiyo4_k.png [ 8.31 KiB | 表示数: 5213 回 ]


バッキー さんが書きました:
# システムが変更になったせいか、mozillaZineが開かなかったりタイムアウトしたりでなかなか書き込めませんでした。。。
今日はサーバーのメンテナンスで18時過ぎまではサーバーが止まっていたはずです。また、新システムへの移行日はサーバーが動作している状態でしたが作業途中は表示内容が不安定でした。お知らせのフォーラムにアナウンスが出ますから時々見てやって下さい。
投稿記事 Posted: 2012年10月29日(月) 00:08
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
kiyo4_k さんが書きました:
生成されたbasic認証のサムネイル画像はユーザIDなどは(知っていれば)想像出来るような画像かもしれませんがパスワードは黒丸に置き換えられたままなので読めませんでした。
表示側の解像度がいくら良くてもこの程度の解像度で保存された画像なら問題無さそうな気がします。

画像処理アルゴリズムを研究開発していた経験から言わせていただくと、このサムネイル画像はかなり危険だと思いますよ。

確かにパスワードは入力した文字が塗りつぶされているので読み取れません。
でも、それ以外の英数字・記号・ひらがな・カタカナは文字種が少ないので、それらを並べてWebページを作ると簡単にサムネイル画像を取得できます。
そして、縮小後の文字パターンから、元の文字を推測するのはそんなに難しい話ではありません。

ちなみに、サムネイル画像はだいたい1/3ぐらいに縮小されていて、縮小のアルゴリズムはバイキュービック(かバイリニア)+量子化という感じですね。


# システムが変更になったせいか、mozillaZineが開かなかったりタイムアウトしたりでなかなか書き込めませんでした。。。
投稿記事 Posted: 2012年10月28日(日) 23:20
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
ytooyama さんが書きました:
該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと(オブラードに包まないで言うと、変に釣る内容のタイトルであること)、以上から該当記事は保留扱いとなりました。

なるほど、そういうことですか。

ytooyama さんが書きました:
記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。

そのあたり、投稿内容のガイドラインがあるといいのではないでしょうか?
投稿記事 Posted: 2012年10月28日(日) 22:58
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
サムネイル画像を保存する設定にして、普通に認証の画面でサムネイル画像をいくつか採取させて保存されたサムネイル画像を画像編集ソフトで開いてみましたが、私には書いてある文字は拡大してもCAPCHA画像よりも情けない絵になるので読めませんでした。
生成されたbasic認証のサムネイル画像はユーザIDなどは(知っていれば)想像出来るような画像かもしれませんがパスワードは黒丸に置き換えられたままなので読めませんでした。
表示側の解像度がいくら良くてもこの程度の解像度で保存された画像なら問題無さそうな気がします。
投稿記事 Posted: 2012年10月22日(月) 22:34
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
ytooyama さんが書きました:
該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと(オブラードに包まないで言うと、変に釣る内容のタイトルであること)、以上から該当記事は保留扱いとなりました。

記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。
ytooyamaさん、ありがとうございます。
投稿記事 Posted: 2012年10月22日(月) 22:17
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
バッキー さんが書きました:
pal さんが書きました:
この種のことは、そこの趣旨にはあっていないと思います。

よかったら、palさんは何があっていないと 思われているのか具体的に教えていただけますか?

palさんが示されたそこの趣旨には
    modestで出来ること:
      トピック(Blog投稿)でタイムリーな情報を発信、閲覧すること
    トピック(投稿):
      あるいは単に気になることなどが書かれた投稿です。
      サイトにログインすれば誰でも自分 の名前で modest に投稿できますので、みんなで共有したいことや聞いてみたいことなどがあれば遠慮なく書き込んでください
    Blog — タイムリーな情報を発信する:
      あなたが今知らせたい情報をタイムリーに発信することで、オープンでスピード感 のあるProject 運営が可能となります
と書かれており、これらはまさしく私がやりたいことですし、セキュリティに関する情報を発信していはいけないとは書かれていませんが?


横から失礼します。
該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと(オブラードに包まないで言うと、変に釣る内容のタイトルであること)、以上から該当記事は保留扱いとなりました。

記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。
投稿記事 Posted: 2012年10月21日(日) 11:32
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
バッキー さんが書きました:
仮にそうだとしても、非公開にするならば一言メッセージがあってもいいんじゃないかなぁ。。。
一言有る方が少ないと思いますけど。まぁ、こっちに関してはそれほど悪意に取らなくて良いと思います。

バッキー さんが書きました:
と、no-storeレスポンスが付いているか、httpsリクエストでかつbrowser.cache.disk_cache_sslがfalseの場合のみのようです。

no-cacheは調べなくていいのかな? と気になるところですが、
重要なのは、browser.cache.disk_cache_sslはデフォルトが true なので、httpsリクエストでもサムネイルが作成されちゃってますね。
palさんに提示していただいたcomment22以下を辿ったり(英語もソースも完全には読めないんですけどね)して眺めてみたんですが、
2カ所のcapturing_disabledを判定してreturnしているところにno-cacheの判定も必要なんじゃないかなぁと思いました。

見える範囲(と読める範囲)では、このままではhttpsじゃないbasic認証の画面のキャッシュは避けられないような気がするので、サイト側からの情報だけでなくユーザがコントロール出来る必要が有るような気がするんですが。(401レスポンスがno-storeの条件に含まれているなら良いですけど)
投稿記事 Posted: 2012年10月21日(日) 11:06
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
バッキー さんが書きました:
pal さんが書きました:
この種のことは、そこの趣旨にはあっていないと思います。

よかったら、palさんは何があっていないと 思われているのか具体的に教えていただけますか?

言葉足らずでした。
私の考えは、kiyo4_kさんが触れている「Bugzillaで~」ということです。


Cai さんが書きました:
「あのサムネイルって画像として直に保存されてるのかー」と開いてみたらログイン画面やフォーム入力画面のサムネイル (いろいろ入力済み) があってゾッとしました。

これは、サムネイルの日付をみればより確実なのですが、古いものが残っていただけのように思います。
kiyo4_kさんがリンクしてくれたサイトでは14.0.1で修正されたようですので。
これが正しければ、(古いものを削除後は)新たにサムネイル化はされないはずです。


kiyo4_k さんが書きました:
あの、「プライバシー関連情報を含む金融サイトやWebメールサイトを除外するようになった」というのはどういう仕組みでやってるのかが気になってきますね。
単にhttpsというプロトコルで判断するのか、サイト登録なのか...サイト登録なら日本では誰がどんな仕組みで登録するのかっていうのは気になる人は居るかもです。

これは、caiさんがリンクしているバグのDepends onにある、このバグです。
修正内容(手法)はcomment22のパッチ内容をご覧ください。
投稿記事 Posted: 2012年10月21日(日) 08:57
  記事の件名:  Re: 【事例報告】 訪問したページをサムネイル画像で保存しないようにする方法について  引用付きで返信する
aides さんが書きました:
オフトピですが同等の機能を有してる以下のアドオンでも、此の問題は再現するのでしょうかね?
* Speed Dial | Firefox アドオン | Mozilla Japan の公式アドオン紹介サイト

ソースコードを覗いてみましたが、けっこうなボリュームがあるので同じような問題があるのか簡単には突き止められませんでした。

ただ、Speed Dial自体は 2007年4月にリリースが開始されたものなので、サムネイル作成もサムネイル保存(しているのかな?)も独自にやっていると思います。
投稿記事 Posted: 2012年10月21日(日) 08:47

All times are UTC + 9 hours


ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean