bit.lyプレビューFirefox拡張がSSL通信を阻害?

短縮URLのリスクと対策のコメントでtss_ontapさんに指摘されて調べてみたのだが、bit.lyプレビュー拡張を適用したFirefoxだと、SSL/TLSの証明書が適切に認識されないという状況が生じるようだ。

bit.ly Previewのレビューでも次のように指摘されている。

Breaks security for all SSL/HTTPS sites

投稿者: dj.spacemonkey - 投稿日時: 2009年 6月 9日

After installing this add-on, all of my banking sites would show the broken lock with red exclamation in the bottom status bar, indicating that the site was not fully encrypted. Combing through the Page Info showed that all media from every site was indeed https://..., so couldn't see why the sites reported this problem.

Finally remembered I had just installed bit.ly preview -- disabled the add-on, and all sites showed correct encryption.

IOW, bit.ly preview breaks end-to-end encryption for SSL/HTTPS websites. This needs to be fixed ASAP.

以下、簡単な訳。

このアドオンをインストールした後、私のすべてのバンキングサイトが下部のステータスバーで赤いびっくりマークをとともに壊れた鍵を示すようになった。これはサイトが完全には暗号化されていないということを示す。ページ情報を見てみるとすべてのメディアはhttps://...になっているので、何故これらのサイトがこのような問題を報告するようになったかわからない。

ついに、bit.ly previewをちょうどインストールしたところだったのを思い出し、アドオンを無効にしたところ、すべてのサイトは正しく暗号化されるようになった。

別の言い方をすると、bit.ly previewはSSl/HTTPSのエンドトゥエンドセキュリティを破壊している。これはすぐに修正されるべきだ。
bit.ly Previewのレビューより

UserVoice上でのフォーラムでも議論がされている。

solve breaking of bit.ly preview end-to-end encryption for SSL/HTTPS websites: http://bit.ly/p7aq

Please read review by "dj.spacemonkey" on the cited URL

引用した"dj.spacemonkey"のレビューを読んで下さい。

これに対して、UserVoiceの管理者の回答。

I am thinking this is the banking site's problem or a browser issue. I use several online banking sites, all are fine on my end in Mozilla 3.0.11 which is the latest version of Firefox. Are you perhaps using a version that is a beta version like 3.5 or some other browser entirely?

これはバンキングサイト側の問題かブラウザの問題だと考えている。私はいくつかのバンキングサイトを使っているが、私のところではすべて、Firefoxの最新バージョンであるMozilla 3.0.11で問題ない。たぶん、3.5とかのベータとか完全に違うブラウザを使ったりしているのではないですか?

うむ。これはいけない。自分のところの環境で起きなかったというのを言うまでは良いが、レポートしてきている側の問題と判断してしまってはいけない。まずは相手の再現環境と手順をもう一度聞くべきだろう。と思うのは私だけではないようで、その後、別の人間が次のように聞いている。

Rex, several people have reported this (https://addons.mozilla.org/en-US/firefox/reviews/display/10297), so it's unlikely to be a problem with a specific banking website or Firefox version. The problem is apparent with a (non-beta) release version of Firefox (v3.0.11). Perhaps wider testing of this issue is warranted? Have you tried using different OSes? Using a proxy server to see if that's an issue?

Rex(管理者の名前)、数人の人間が本件をレポートしていることからもわかるように(https://addons.mozilla.org/en-US/firefox/reviews/display/10297)、これは特定のバンキングサイトやFirefoxのバージョンによるものではなさそうだ。問題は明らかに(ベータではない)Firefox(v3.0.11)でも起きている。おそらく、本件に対してはもっと広範囲なテスト必要ではないだろうか? 違うOSでは試しましたか? プロキシサーバーを介して見てそれが問題ではないかなども確認しましたか?

UserVoiceのやり取りは約1ヶ月前のこれが最後であり、アドオンのレビューでもその後、進展が無いのだが、実際に私の環境では、いともあっさり再現した。

Firefoxのバージョンは3.0.13と3.5.2。

たとえば、Yahoo! USのサイトにログインする画面では次のようになる。

yahoo_ssl_bitly_preview

詳細を表示してみるとこう。

yahoo_ssl_bitly_preview_details

bit.ly preview拡張を無効にしてみると、次のようになる。

yahoo_ssl

詳細表示は以下の通り。

yahoo_ssl_details

ただ、すべてのSSL/TLSサイトでこのようになるかというとそうでもないようだ。再現状況がまだ把握できていない。

また、これで本当にSSLが無効になっているかどうかもまだ確認とれていない。Live HTTP Headerで見てみると、確かにbit.lyに通信へのパケットが見えたものの、一度、サイトとの通信が開始された後は、bit.lyと通信しているようには見えなかった。

また、WireSharkSSL/TLSも追ってみたが、きちんと暗号化されているように見える。もしかしたら、Firefoxの証明書表示部分の動作がbit.ly previewによっておかしくなっているのかもしれない。

もう少し追ってみようと思ったのだが、途中で力尽きた。誰かわかった人がいたら教えて欲しい。

いずれにしろ、ちょっと怖いので、bit.ly preivew拡張はちょっとお勧めできない。