Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 | スラド セキュリティMozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿、 The Registerの記事、 Bleeping Computerの記事)。 Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。 FTPサブリソースのブロッキングはFirefox Night
