2007年12月07日

「HttpLogger」バージョンアップのお知らせ(2007/12/07)

はてなブックマークに登録

■ はじめに

Windows 用フリーウェア「HttpLogger」のバージョンアップを行いました。
今回の新しいバージョン 0.8.2 にはセキュリティに関する重要な修正が含まれています。 旧バージョンをご利用中の方はこのバージョンへのアップデートをお願いいたします。

HttpLogger 0.8.2 をダウンロードする

■ 概要

HttpLogger バージョン 0.8.1 にセキュリティ上の脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により、Webブラウザ上で任意のスクリプトが実行される 可能性があります。

■ 対象バージョンの確認方法

Internet Explorer (IE) または Firefox から http://history/ へアクセスして下さい。 ページ左上の「HttpLogger」という表示の右側に記載された 「X.X.X」の部分がバージョン番号です。この番号が「0.8.1」であればアップデート対象です。
HttpLoggerバージョンの確認方法

■ アップデート手順

  1. HttpLogger バージョン 0.8.2 をダウンロードして下さい
  2. 起動中のブラウザをすべて終了して HttpLoggerSetup.exe を実行します
  3. ウィザードで表示される手順にそってアップデートを行います
  4. 上記の完了後、IE または Firefox を起動して http://history/ ページでのバージョン表示が「0.8.2」であることをご確認下さい

■ 関連情報

JVN#02854109
「HttpLogger におけるクロスサイトスクリプティングの脆弱性」

■ 謝辞

脆弱性をご指摘頂いた JPCERT コーディネーションセンター様に御礼申し上げます。

■ その他の更新内容

バージョン 0.8.1 -> 0.8.2 でのその他の更新内容は以下の通りです。
  • ブラウザ上で Java アプレットの実行に失敗する問題への対応
  • プロキシサーバ経由のリクエスト〜レスポンスは履歴へ記録しないように
    ※プロキシ環境でのブラウジングへの対応は今後のバージョンをお待ち下さい
klab_gijutsu2 at 04:26│Comments(25)TrackBack(0)win 

トラックバックURL

この記事へのコメント

1. Posted by oryaaaaa   2007年12月15日 19:59
5 httplogerから、こちらのブログを知りました。似たものは考えていたけれど、実現が難しくてネタ帳どまりでした。完成おめでとうございます!

私のネタ

日記帳感覚の閲覧&記録、スライドショーのように懐古でき、さらにDVD-Rへ簡単に焼いて、自分とネット関わりを将来にわたって残しておけるものがあれば便利だと思いました。ストレスがたまりすぎて、頭がボケたとき、ちょっとしたことも忘れてしまいました。その経験から、団塊世代向けネット支援ツールという新ジャンルが求められているのではないかと考えました。2年経過しても作れないものはアイデアが腐るだけなので、こちらに足跡していきます。

おりゃ
2. Posted by tanabe   2007年12月16日 09:27
おりゃさん、コメントをありがとうございます。
あたたかいメッセージと沢山の星をいただき恐縮です。「日記帳感覚の閲覧&記録」素敵なキーワードですね。お手持ちのアイディアの実現をお祈りしています :-)
3. Posted by kira   2007年12月22日 04:00
5 こういうソフトがほしかったんです!
でも・・、どうしてもインストールができません。

環境はVISTA+ウィルスバスター2008+Firefox2 です。
ブラウザは起動していない状態で、セットアップexeを起動させています。
ウィルスバスターが悪さをしているのか・・?

常に以下のメッセージが出ます。
インストールする方法がございましたら、お教えください。

----以下、エラーメッセージ---

エラーコード: -5009 : 0x8002801d
エラー情報:
>Kernel\CABFile.cpp (263)
>SetupDLL\SetupDLL.cpp (1611)
pAPP:HttpLogger
PVENDOR:KLab
PGUID:636FF9A8-70B8-4EE2-A814-8947123A9805
$7.1.100.1248PAK
@Windows (6000) IE 7.0.6000.16575
4. Posted by tanabe   2007年12月22日 05:31
kiraさん、コメントをありがとうございます。
手元の環境ではご指摘の現象を確認できていないのですが、一度以下の手順をお試し下さい。
1:「HttpLoggerSetup.exe」の右クリックメニューから「ショートカットの作成」を実行
2:作成したショートカットのプロパティを開く
3:プロパティ画面の「リンク先」のフィールドの "(パス名)\HttpLoggerSetup.exe" の末尾に -wait というオプションを追加して「OK」ボタンを押す
4:このショートカットを実行する
つまり、HttpLoggerSetup.exe を -wait オプションつきで実行するということですね。
この手順でもエラーが解消しない場合にはVistaのエディションをお知らせ下さい。
5. Posted by kira   2007年12月23日 02:22
5 こんばんわ!
ご指示の要領でインストールしましたところ、
すんなりと成功しました!
-wait オプションがどのような動作をさせるパラメータなのか分からないので、何が原因でインストールできなかったのかは不明です・・・。
ちなみに、VISTAのエディションは HomePremiumです。
一つ気になったことがあります。
VISTAでは新たにインストールされたソフトは、スタートメニュー上で強調表示(イエローにハイライト)されますが、HttpLoggerは強調表示されません。これも理由は不明です・・。
ともかく、ちゃんと動作しています。
すばらしいソフトをありがとうございます。
6. Posted by tanabe   2007年12月23日 09:51
kiraさん、結果のご連絡をありがとうございます。本ソフトウェアがお役に立てば幸いです。なお、本件はセットアッププログラムのエンジンの仕様に起因するもののようです。これについてはしばらく様子を見たいと考えています。
7. Posted by 情報提供者A   2007年12月31日 03:18
Google Web Accelerator を使うと、HttpLoggerに閲覧記録を保存できませんでした。
Google Web Acceleratorを"stop"させると、HttpLoggerは閲覧を記録します。

理由を考えるに、Google Web Acceleratorを起動("start"の状態)していると、IEの「ツール(O)」-「インターネット オプション」-「ローカルエリアネットワーク(LANの設定)」にある「自動構成スクリプトを 使用する」のチェックボックスにチェックが自動的に入ってしまい、アドレス欄に記載されたhttp://localhost:9100/proxy.pacというプロキシに接続されてしまうからだと思います。

HttpLoggerの方がGoogle Web Acceleratorより有用なので、Google Web Acceleratorを"stop"させていますが、できればともに使えるように、なにとぞご対応いただければと思います。
8. Posted by tanabe   2007年12月31日 07:59
「情報提供者A」さん、コメントをありがとうございます。
なるほど、「Google Web Accelerator」の実体はHTTPプロキシのようですね。プロキシ環境でのブラウジングへの対応は今後の課題のひとつだと考えています。時期等は未定ですが、どうぞ末長くお付き合い下さい。
今日は大晦日、よいお年をお迎え下さい。
9. Posted by donald   2008年02月29日 22:33
4 こんばんは。
こんなソフトを探していましたが、半分あきらめていましたので、すごく嬉しく思っています。
早速、インストールしてみました。
historyで、過去にアクセスしたサイトの一覧となり、アクセスしたリストは表示されますが、それらをクリックしてもそのページにはつながらず「ページを表示できません」となってしまいます。
IEの設定が悪いのかと思い、いろいろ変えてやってみていますが解決できていません。
待ち望んでいたソフトであり、ぜひ有効に使わせて頂きたく思っています。
アドバイスをお願い致します。
10. Posted by tanabe   2008年02月29日 23:21
donaldさん、コメントをありがとうございます。
状況を把握するためにまず何点かお尋ねします。
・「ページを表示できません」と表示されるのは、「過去にアクセスしたサイトの一覧」上のサイト名のリンクをクリックした時でしょうか?それとも、その次に表示される「参照したページの一覧」上の実サイトへのリンクをクリックした時でしょうか?
・「検索」を実行した場合の動作はいかがでしょう?
・ご使用のWindows環境(例:「XP Professional SP2」「Vista Business」 など)とIEのバージョンをお知らせ願います。
週末は反応が遅くなるかもしれませんが、よろしくご確認下さい。
# もしFirefoxもお使いでしたら、一度同じ手順ををそちらでもお試しいただければ幸いです
11. Posted by donald   2008年03月05日 23:38
早速のご回答ありがとうございます。
まず、「ページを表示できません」となるのは、「過去にアクセスしたサイトの一覧」上のサイト名のリンクをクリックした時です。検索を実行した時も同様に「ページを表示できません」になってしまいます。
環境はWindows XP Home Edition ver2002 Service Pack1です。
Firefoxは今のところ、使用しておりません。
よろしくお願い致します。
12. Posted by tanabe   2008年03月06日 16:22
donaldさん、ご指摘のエラーの表示されるタイミングとOS環境についてのご確認をありがとうございます。IE のバージョンはおそらく「6」ですね。

手元で XP Home について、0:Service Pack(以下"SP")なし/ 1:SP1適用/ 2:SP2適用 の三つの環境(いずれもエミュレータによる)を用意し順に試したところ、1: においてのみご指摘の現象の発生を確認しました。HttpLogger のどの処理がこれを誘発しているかも判明したのですが、この部分については SP1 適用後の IE 側の挙動の方が客観的に不適切と考えられることもあり、現時点ではツール側の対処は考えておりません。なお、同じSP1 環境において Firefox2 での動作に問題は見られませんでした。
-- 続く--
13. Posted by tanabe   2008年03月06日 16:22
-- 続き--
ちなみに、README やダウンロードページ(http://dsas.blog.klab.org/archives/51129788.html#platform)に記載しています通り、HttpLoggerは、XP の場合 Home/ Professional ともに SP2 での動作のみを確認しております。
SP1 には IE まわりを含めセキュリティ上の多くの問題が存在することがマイクロソフト社からアナウンスされていますので、この機に SP2 へのアップデートを検討なさってはいかがでしょう?
<Windows XP SP2 をインストールする方法>
http://support.microsoft.com/kb/884514/ja
以上、ご参考となれば幸いです。

# 余談ながら、コメント投稿時にご記入頂いたメールアドレスは普段メインで使用されているアドレスのようにお見受けしました。スパム等で悪用されることを防ぐために、当方の判断でこのアドレスの公開は伏せさせて頂きました。ご了承下さい。
14. Posted by Lavie   2008年03月11日 09:55
今年に入りましてから使用させて戴いております。

当初はDELLのPC上にて「WindowsXP Home」「Firefox2.0.0.12」「IE7.0.5730.11IC」の環境で用いており順調に作動しておりましたが、一月下旬にSONYのVAIOを購入し「WindowsVista HomePremium」「Firefox2.0.0.12」「IE7」の環境下で使うようになりましたところ、Firefoxでは順調に動作しておりますものの、IE7は動作を停止してしまいます。
HttpLoggerの動作をOFFにしますとIE7が通常通りに動き出しますが、I何か設定上見落としていることがあるのでしょうか。

ご教示下さい。
15. Posted by tanabe   2008年03月11日 17:17
Lavieさん、コメントをありがとうございます。
ご指摘の件について、詳細をお尋ねする前にまず手元の Vista Home Premium + IE7 環境で確認したところ、一点問題が見つかりました。これは「特定のスタイルで記述されたページへアクセスした際の履歴出力時にメモリ処理上のエラーが発生する」というものです。
ちなみに、同じ要領のページへ XP + IE6 環境からアクセスしたところでは、今回の操作範囲では異常終了には至りませんでした。
これがお手元でのエラーと同一の原因によるものかどうかはまだ不明ですが、この件を仮修正したモジュールを用意してみましたので一度この版をお手元の環境で試して頂けませんでしょうか?
http://dsas.blog.klab.org/test/HttpLoggerTest_0822.zip
# 導入方法等はアーカイブ中の README.txt をご覧下さい
# 含まれるHttpLogger.dll の md5sum は「DF847ED4032DF331B8368757BB917756」です
-- 続く--
16. Posted by tanabe   2008年03月11日 17:17
-- 続き--
この版でも依然エラーが発生する場合は、以下について情報を頂ければ幸いです。
・異常の発生するタイミング
 (ブラウザ起動直後/ページ閲覧時/history表示時、など)
 「ページ閲覧時」の場合は異常発生時のURLを教えて頂けると助かります
・IE7へ組み込みずみのアドオン・ツールバー類の有無
宜しくご確認下さい。
17. Posted by Lavie   2008年03月26日 13:54
エラー回避用モジュールをご用意戴きまして有難うございました。
単純に C:\Program Files\ 配下のモジュールを差し替えても、AppData\Local\VirtualStore\Program Files\ 配下のモジュールを直接差し替えてみても、特段改善されませんでした。

異常の発生するタイミングは、ブラウザ起動直後で、ブラウザ用の真っ白いウィンドウが用意されますが、それ以降は何も変化せず「プログラムは動作を停止しました」というアラートが表示されて起動が停止します。
積極的に導入したIE7へのアドオンツールは、期間限定版でプリインストールされていた Norton Internet Security 2008 のみです。
宜しくお願い致します。
18. Posted by Lavie   2008年03月27日 11:43
Vista上でのIE7のバージョンをお知らせせずにおりました。
7.0.6000.16609です。
またIE7へのアドオンは、思い違いをしており McAfee Site Advisor (ver 2.6.0.6239)でした。
申し訳ありません。
19. Posted by tanabe   2008年03月27日 23:56
Lavieさん、コメントをありがとうございます。また、テスト版をお試し頂きありがとうございました。
IE7のバージョンは手元の環境のものも同一で、試しに「McAfee SiteAdvisor」(*)をインストールしてみたところでは再現には至りませんでした。
(*) バージョン 2.6.0.6239 を探しましたが見つからなかったため 2.6.0.6253 を使用しました。また、念のため「Norton Internet Security 2008」も試しました

ちなみに、IE7の「保護モード」は「有効」「無効」のどちらに設定されているでしょう?また、IE7の「ホームページ」は「空白を使用」されている状態でしょうか?(もしそうでなければホームページに設定されているアドレスを教えて頂けると嬉しいです)
-- 続く--
20. Posted by tanabe   2008年03月27日 23:57
-- 続き--
このように今のところ原因は見えていないのですが、この問題の分析にはさらに詳しい調査が必要だと考えています。ただ、そのためには Lavieさんのご協力と、また、この場に露出することが適切ではないお手元の環境固有の情報(ログ等)のご提供をお願いすることになろうかと思います。
つきましては、そういった事情をご了解の上、差し支えのない範囲でご協力頂けるようでしたら、お手持ちのメールアドレスを教えて頂けないでしょうか? ※もちろん記入されたアドレスは公開致しません
お時間のある時にご検討頂ければ幸いです。
21. Posted by Lavie   2008年03月29日 09:32
IE7の「保護モード」は「有効」です。
最近調達した、別のノートPC(Vista Home Premium)では、IE7のバージョンは同一(保護モード有効)、アドオンは Norton Internet Security 2008 の環境で、全く異常なく動作しています。
もちろん Firefox2 でも異常ありません。
思い返すと、現在異常が発生しているPCでは、購入後に IE7 を一度も起動することなく HttpLoggerをインストールし、その後に初めて IE7 を起動しましたが、関係あるでしょうか。
Firefox2 は、HttpLogger のインストール前に幾度か起動させていました。思い当たる IE7 と Firefox2 との違いは、その辺りですが...。

ログの提供やメールアドレスの件は、検討致します。
22. Posted by Lavie   2008年03月29日 09:36
IE7 の「ホームページ」は、http://www.google.co.jp/ を設定してあります。
23. Posted by tanabe   2008年03月29日 09:57
Lavieさん、コメントをありがとうございます。
貴重な情報を大変興味深く拝見しました。おって Home Premium の新規環境を用意した上で実験を行いたいと考えております。
また「ホームページ」の件につきましてもありがとうございます。特に差し障りのない内容と判断し公開させて頂きました。宜しくご了承下さい。
24. Posted by tanabe   2008年03月31日 15:04
Lavieさん、その後新しい Home Premium 環境を用意してみました。
IE7 を一度も起動しない状態で HttpLogger のインストールを行い試してみましたが、残念ながら再現には至りませんでした。
ただ、PC 製品へプリインストールされた Windows 環境には多くの場合ベンダ固有のツールやモジュールがあらかじめ導入されていますので、お手元の環境とは条件が異なる可能性もあろうかと思います。そこで、調査の足がかりとなりそうな簡単なツールを用意してみました。
http://dsas.blog.klab.org/test/ProcessMods.zip
これは、Windows 環境下で稼動中のプロセス一覧を表示し、指定されたプロセス ID (PID) 分のプロセスにロードされているモジュールの一覧を表示するものです。
# ProcessMods.zip の正しい md5sum は「D62BB896C933F37F207313A7F9EBD723」です
-- 続く--
25. Posted by tanabe   2008年03月31日 15:05
-- 続き--
よろしければ一度このツールをご覧頂き、もし、ツールの取得する情報内容のご提示ならびにメールでのご連絡に差し支えがなければ、下記の手順によって得られるテキストファイルをご送付頂けないでしょうか?(連絡用のアドレスは HttpLogger の README ファイル末尾に記載があります)

1: 再現環境で IE7 を起動する
2:「プログラムは動作を停止しました」の警告が表示されたらそのダイアログを開いたまま上記のツールを起動する
3:表示された[Processes]の中から「iexplore.exe」の行を探し、その「PID」の数字をコピーして左上のフィールドに貼り付け、「実行」ボタンを押す
4:「保存」ボタンを押下すると表示中の情報が Process.txt へ保存される

お手数をおかけしますが、お時間のある時にご検討頂ければ幸いです。

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
Blog内検索
Archives
このブログについて
DSASとは、KLab が構築し運用しているコンテンツサービス用のLinuxベースのインフラです。現在5ヶ所のデータセンタにて構築し、運用していますが、我々はDSASをより使いやすく、より安全に、そしてより省力で運用できることを目指して、日々改良に勤しんでいます。
このブログでは、そんな DSAS で使っている技術の紹介や、実験してみた結果の報告、トラブルに巻き込まれた時の経験談など、広く深く、色々な話題を織りまぜて紹介していきたいと思います。
最新コメント