取り消し 配信元が異なるリソースから HTTP 認証ダイアログを表示できなくなりました

公開日: | カテゴリー: ネットワーキング, プライバシー & セキュリティ

概要

Firefox はこれまで、他のブラウザーと同様に、<iframe><img><script>XMLHttpRequest、CSS background-image などあらゆるリソースが HTTP 401 ベーシック認証ダイアログを表示することを許容していました。しかしこの挙動は、攻撃者が第三者のサイトに任意のリソースを埋め込んだり挿入したりすることができた場合、ユーザーの認証情報を盗み出すのに悪用される恐れがありました。Firefox 40 以降では、ページ自体と 同一配信元 のリソースのみが認証ダイアログを表示できるようになり、サイト互換性の問題を軽減しつつそうした潜在的な攻撃を防ぐ措置が講じられています。

必要な場合、この新しい挙動は、以下のいずれかの値を取る隠し設定 network.auth.allow-subresource-auth で変更できます。

  • 0 - サブリソースが HTTP 認証ダイアログを開くことを許可しない
  • 1 (既定値) - サブリソースが HTTP 認証ダイアログを開くことを許可するが、配信元が異なるサブリソースには許可しない
  • 2 - 配信元が異なるサブリソースにも認証を許可する

出典: modules/libpref/init/all.js

更新: ユーザーからのフィードバックを受けて、この変更は Firefox 41 Beta、42 Developer Edition および 43 Nightly から バックアウト され、network.auth.allow-subresource-auth 設定の既定値は 2 に戻されました。Firefox 40 向けにも、以前の挙動に戻す 組み込みホットフィックスアドオンの自動更新が 以降に配信されています。

更新 2: ホットフィックスアドオンとの競合を防ぐため、Firefox 41 で 設定名が変更され network.auth.subresource-http-auth-allow になりました。取り得る値と既定値 (2) は変わりません。

更新 3: Firefox 59 で、クロスオリジンの画像に関してのみですが、この変更の一部が再度実装されました。

参考資料