配信元が異なる画像から HTTP 認証ダイアログを表示できなくなりました

公開日: | カテゴリー: ネットワーキング, プライバシー & セキュリティ

概要

Firefox 59 以降、現在のページと異なる配信元から読み込まれた画像リソースが HTTP 認証ダイアログプロンプトを表示することはできなくなりました。これは、攻撃者が任意の画像を第三者のページへ埋め込むことができた場合にユーザーの認証情報が盗まれる恐れを防ぐための措置です。

このセキュリティ対策は元々 Firefox 40 で導入されましたが、いくつかの互換性問題によりすぐバックアウトされていました。一部の組織では認証ダイアログを表示するためクロスオリジンのフレームやスクリプトがまだ使われている可能性はありますが、画像は正規の手法とは考えられないため、今回の変更が実施されました。Google Chrome が既に同じ変更を実装していることから、特に影響はないと Mozilla 開発者は見ています。

参考資料