MozillaZine.jp フォーラム

kiyo4_k さんが書きました:

バッキー さんが書きました:えーっと、正直なところわりと簡単に読めちゃうと思いますよ。

読めてしまうんですか．．．私には読めないけど読める人には読めるということですね。（もちろん、先の投稿に書いたように元を知っている文字列なら私にも読めますよ）

kiyo4_k さんが書きました:ところで、事例報告の内容は有り難くこのまま残しておきますが（編集して旬の問題にも置いておくとか）、このトピックどうしますか？　解決ではないのでマークしませんが、続けてもここでは進展はないのでこのまま置いておきますか。
危険だとか実際になにか有ったという人がレスを付けられるように．．．

バッキー さんが書きました:えーっと、正直なところわりと簡単に読めちゃうと思いますよ。

バッキー さんが書きました:とりあえず、先の投稿を編集して手順と画像を削除しました。
でも、サムネイル画像から簡単に情報を読み取ることができることに変わりは無いのと、Firefox13でサムネイル画像が保存されるようになってからずいぶん時間が経過してますので、私はかなり危険な状態だと考えてます。

kiyo4_k さんが書きました:肉眼で読むだけでは私にはなかなか区別出来ない文字ですが、
これを、どれだけの人が読めちゃうかということですね。

kiyo4_k さんが書きました:詳しく書いちゃうと悪いことしたい人にはやり方を説明することになっちゃうのでやめましょう。

バッキー さんが書きました:

kiyo4_k さんが書きました:サムネイルの縮小率やアルゴリズムが分かれば元の文字が分かるかもしれませんね。

いえ、アルゴリズムは判らなくても以下の手順で元の文字は簡単に判ってしまうんですよ。

バッキー さんが書きました:画像を添付したかったのですが、上手く動かなかったので画像のリンク先をご覧になってください。

kiyo4_k さんが書きました:サムネイルの縮小率やアルゴリズムが分かれば元の文字が分かるかもしれませんね。

kiyo4_k さんが書きました:

バッキー さんが書きました:＃ システムが変更になったせいか、mozillaZineが開かなかったりタイムアウトしたりでなかなか書き込めませんでした。。。

今日は サーバーのメンテナンスで18時過ぎまではサーバーが止まっていたはずです。また、新システムへの移行日はサーバーが動作している状態でしたが作業途中は 表示内容が不安定でした。お知らせのフォーラムにアナウンスが出ますから時々見てやって下さい。

バッキー さんが書きました:確かにパスワードは入力した文字が塗りつぶされているので読み取れません。
でも、それ以外の英数字・記号・ひらがな・カタカナは文字種が少ないので、それらを並べてWebページを作ると簡単にサムネイル画像を取得できます。
そして、縮小後の文字パターンから、元の文字を推測するのはそんなに難しい話ではありません。

ちなみに、サムネイル画像はだいたい1/3ぐらいに縮小されていて、縮小のアルゴリズムはバイキュービック(かバイリニア)+量子化という感じですね。

バッキー さんが書きました:＃ システムが変更になったせいか、mozillaZineが開かなかったりタイムアウトしたりでなかなか書き込めませんでした。。。

kiyo4_k さんが書きました:生成されたbasic認証のサムネイル画像はユーザIDなどは（知っていれば）想像出来るような画像かもしれませんがパスワードは黒丸に置き換えられたままなので読めませんでした。
表示側の解像度がいくら良くてもこの程度の解像度で保存された画像なら問題無さそうな気がします。

ytooyama さんが書きました:該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと（オブラードに包まないで言うと、変に釣る内容のタイトルであること）、以上から該当記事は保留扱いとなりました。

ytooyama さんが書きました:記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。

ytooyama さんが書きました:該当する記事は見ましたが、「セキュリティの問題がある」と言う記述はあるものの、根拠となる証拠が提示されていないこと、記事タイトルがそぐわないこと（オブラードに包まないで言うと、変に釣る内容のタイトルであること）、以上から該当記事は保留扱いとなりました。

記事についてはまあ、dev.mozilla.jpに置かれる記事ですから、該当バグのリンクと、パッチを当てる方法とか追加すると良かったかなと思います。

バッキー さんが書きました:

pal さんが書きました:この種のことは、そこの趣旨にはあっていないと思います。

よかったら、palさんは何があっていないと 思われているのか具体的に教えていただけますか？

palさんが示されたそこの趣旨には

• modestで出来ること:
  • トピック（Blog投稿）でタイムリーな情報を発信、閲覧すること
  トピック(投稿):
  • あるいは単に気になることなどが書かれた投稿です。
    サイトにログインすれば誰でも自分 の名前で modest に投稿できますので、みんなで共有したいことや聞いてみたいことなどがあれば遠慮なく書き込んでください
  Blog — タイムリーな情報を発信する:
  • あなたが今知らせたい情報をタイムリーに発信することで、オープンでスピード感 のあるProject 運営が可能となります

と書かれており、これらはまさしく私がやりたいことですし、セキュリティに関する情報を発信していはいけないとは書かれていませんが？

バッキー さんが書きました:仮にそうだとしても、非公開にするならば一言メッセージがあってもいいんじゃないかなぁ。。。

バッキー さんが書きました:と、no-storeレスポンスが付いているか、httpsリクエストでかつbrowser.cache.disk_cache_sslがfalseの場合のみのようです。

no-cacheは調べなくていいのかな？ と気になるところですが、
重要なのは、browser.cache.disk_cache_sslはデフォルトが true なので、httpsリクエストでもサムネイルが作成されちゃってますね。

バッキー さんが書きました:

pal さんが書きました:この種のことは、そこの趣旨にはあっていないと思います。

よかったら、palさんは何があっていないと 思われているのか具体的に教えていただけますか？

Cai さんが書きました: 「あのサムネイルって画像として直に保存されてるのかー」と開いてみたらログイン画面やフォーム入力画面のサムネイル (いろいろ入力済み) があってゾッとしました。

kiyo4_k さんが書きました: あの、「プライバシー関連情報を含む金融サイトやWebメールサイトを除外するようになった」というのはどういう仕組みでやってるのかが気になってきますね。
単にhttpsというプロトコルで判断するのか、サイト登録なのか．．．サイト登録なら日本では誰がどんな仕組みで登録するのかっていうのは気になる人は居るかもです。

aides さんが書きました:オフトピですが同等の機能を有してる以下のアドオンでも、此の問題は再現するのでしょうかね？
* Speed Dial | Firefox アドオン | Mozilla Japan の公式アドオン紹介サイト