SafariにSSL関連のバグ

SafariなどにSSLで証明書の検証が働かないバグ[slashdot.jp]

Problem: Multiple Web Browsers do not do not validate CN on certificates. [BugTraq ]

SSL証明書が偽造されていることを警告しないセキュリティ・バグがあるとのこと。

報告ではKonqueror/Embedded にも同じ問題があるが、デスクトップ版のKonquerorそのものにはこの問題がないとのこと。khtmlとは無関係なのかな?

Safariには、そもそも証明書を確認する手段が実装されていないということで、バグというよりも、検証関連の機能が未実装であるように思う。

確認するために、SSLを使うサイトにいってみたが、鍵マークの位置がブラウザウインドウの右上に出るのかよ。この記事を読んで検証するまで気付かなかった。位置が悪いんじゃないか?

いずれにせよ、早急に修正していただきたいものであります。

暫定的な対処法があるとのこと

暫定対処?[slashdot.jp]に暫定的だが対処する方法と、そのソースであるSafari Part12の226から[2ちゃんねる]が書き込まれた。いますぐ[参考になる +5]出してあげたい。

DebugメニューのSecurity→Perfome Strict Certificate Checkesをオンにすると、CommonNameのチェックが走るようになる。ということは、CommonNameのチェック自体は実装されているのに、初期値が緩めに振ってあるということか。

上記の操作を行ってhttps://www.amazone.com/にアクセスすると以下のような警告が出るようになった。

Safari could not verify the identity of the website “www.amazone.com”

The website’s certificate was signed by an unknown certifying authority. You might be connecting to a website that is pretending to be “www.amazone.com” which could put your confidential information at risk. Would you like to continue anyway?

Safariの警告ダイアログより

Safariのデバッグメニューの出し方

Terminalで以下のように入力する。

defaults write com.apple.Safari IncludeDebugMenu 1

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

%d人のブロガーが「いいね」をつけました。