【IT】主要ブラウザのタブ機能に、共通のセキュリティバグ
1 :ムーンマーガレットφ ★:
セキュリティ情報プロバイダのSecuniaは米国時間20日、Mozilla Foundationの
複数のブラウザ、Opera、Linux用のKonquerorなどのタブブラウザに、共通する
2つのセキュリティ問題が見つかったと発表した。また、このバグはMicrosoftの
Internet Explorer用にサードパーティが開発する、タブブラウザ機能を追加する
ためのにプラグインにも存在するという。 このうち1つの欠陥は、タブウィンドウで
悪質なウェブサイトを開くと、そのサイトから別のタブウィンドウに入力された情報
にアクセスされるおそれがある、というもの。またもう1つは、悪質なウェブサイトが、
別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックス
を表示することができてしまう、というものだ。
「問題は、開発者が1つのアプリケーションウィンドウに多数のブラウザタブをつける
ことの重大性をよく考えなかったことにあると思う。彼らはその点に騙されたのだ」と、
Secuniaの最高技術責任者(CTO)Thomas Kristensenは述べている。
http://www.itmedia.co.jp/enterprise/articles/0410/21/news022.html
複数のブラウザ、Opera、Linux用のKonquerorなどのタブブラウザに、共通する
2つのセキュリティ問題が見つかったと発表した。また、このバグはMicrosoftの
Internet Explorer用にサードパーティが開発する、タブブラウザ機能を追加する
ためのにプラグインにも存在するという。 このうち1つの欠陥は、タブウィンドウで
悪質なウェブサイトを開くと、そのサイトから別のタブウィンドウに入力された情報
にアクセスされるおそれがある、というもの。またもう1つは、悪質なウェブサイトが、
別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックス
を表示することができてしまう、というものだ。
「問題は、開発者が1つのアプリケーションウィンドウに多数のブラウザタブをつける
ことの重大性をよく考えなかったことにあると思う。彼らはその点に騙されたのだ」と、
Secuniaの最高技術責任者(CTO)Thomas Kristensenは述べている。
http://www.itmedia.co.jp/enterprise/articles/0410/21/news022.html
|
|
|
2 :名無しさん@お腹いっぱい。:04/10/21 10:44:05 ID:UwPCQTnA
2ゲットズザ
3 :名無しさん@お腹いっぱい。:04/10/21 10:44:32 ID:KumTsu1a
3?
4 :名無しさん@お腹いっぱい。:04/10/21 10:45:24 ID:U5DmkDZP
またゲイシか!
5 :名無しさん@お腹いっぱい。:04/10/21 10:45:43 ID:zA+hshQo
初一桁記念
6 :名無しさん@お腹いっぱい。:04/10/21 10:47:56 ID:wx1tA0X2
>>1
PCニュース板
PCニュース板
7 :名無しさん@お腹いっぱい。:04/10/21 10:48:24 ID:0YUyNsC4
タブン、というならソースはどこよ?
8 :名無しさん@お腹いっぱい。:04/10/21 10:48:40 ID:IA4iZYUl
うほっ、こりゃ重大っぽい
9 :名無しさん@お腹いっぱい。:04/10/21 10:51:07 ID:4oztTLci
>>1
> 「問題は、開発者が1つのアプリケーションウィンドウに多数のブラウザタブをつける
> ことの重大性をよく考えなかったことにあると思う。彼らはその点に騙されたのだ」と、
…「彼ら」は誰をさしてるんだ? 「騙された」のは誰?
> 「問題は、開発者が1つのアプリケーションウィンドウに多数のブラウザタブをつける
> ことの重大性をよく考えなかったことにあると思う。彼らはその点に騙されたのだ」と、
…「彼ら」は誰をさしてるんだ? 「騙された」のは誰?
10 :名無しさん@お腹いっぱい。:04/10/21 10:53:11 ID:rezguzQZ
俺のおきにのSleipnirも?
11 :名無しさん@お腹いっぱい。:04/10/21 11:01:16 ID:eJ5ij+Rc
Opera叩きだな。こりゃ。IEいつになったらタブ化するんだYO!
12 :名無しさん@お腹いっぱい。:04/10/21 11:09:06 ID:ul//oNNE
MSのOperaつぶしがはじまったな。
13 :名無しさん@お腹いっぱい。:04/10/21 11:11:25 ID:XGxoFo/S
ていうか複数のウィンドウで開いている場合も同じだと思うのだが。
14 :名無しさん@お腹いっぱい。:04/10/21 11:16:05 ID:KWpZnwqe
だから純正のIE使えってか?
うまい商売だな。
うまい商売だな。
15 :名無しさん@お腹いっぱい。:04/10/21 11:21:00 ID:6EBkgX0l
↓以下、「またきじゃく性か!」禁止。
16 :名無しさん@お腹いっぱい。:04/10/21 11:21:17 ID:7klrsWQU
よく読まないオマヌケさんがたくさんいますね。
17 :名無しさん@お腹いっぱい。:04/10/21 11:23:00 ID:4oztTLci
タブじゃなくてMDIだったら大丈夫?
18 :名無しさん@お腹いっぱい。:04/10/21 11:26:15 ID:/TkfHwJ9
というか「悪質なサイト」に行かなきゃいいだけの話だと思うんだが。
19 :名無しさん@お腹いっぱい。:04/10/21 11:28:17 ID:QH9poCVA
20 :名無しさん@お腹いっぱい。:04/10/21 11:51:54 ID:06l52TIW
Mac OS X の Safari も危ないのかな?
21 :名無しさん@お腹いっぱい。:04/10/21 12:10:34 ID:ozbL525O
アンチIE廚大量発生
22 :名無しさん@お腹いっぱい。:04/10/21 12:26:38 ID:taMG+eXG
残念ながらIEもまた欠陥出てしまいました。
IEに新たな脆弱性、SP2でも防げず
http://www.itmedia.co.jp/news/articles/0410/21/news016.html
Internet Explorerにまた新たな脆弱性が発見された。たとえWindows XP Service
Pack 2および最新のパッチを適用していたとしても、それらのセキュリティ機能をか
いくぐってプログラムを送り込まれ、実行されてしまう恐れがある。
この問題は単一の脆弱性に起因するものではない。メディアファイルのドラッグ&
ドロップ処理に対する検証が不十分であるという脆弱性と、HTML Help controlのセ
キュリティ制限エラーの問題という2つの問題から成り立っている。この2つの脆弱性
を組み合わせることで、IEのローカルマシンゾーンのセキュリティ制限をかいくぐって
任意のスクリプトを実行され、システムが危険にさらされる恐れがある。
IEに新たな脆弱性、SP2でも防げず
http://www.itmedia.co.jp/news/articles/0410/21/news016.html
Internet Explorerにまた新たな脆弱性が発見された。たとえWindows XP Service
Pack 2および最新のパッチを適用していたとしても、それらのセキュリティ機能をか
いくぐってプログラムを送り込まれ、実行されてしまう恐れがある。
この問題は単一の脆弱性に起因するものではない。メディアファイルのドラッグ&
ドロップ処理に対する検証が不十分であるという脆弱性と、HTML Help controlのセ
キュリティ制限エラーの問題という2つの問題から成り立っている。この2つの脆弱性
を組み合わせることで、IEのローカルマシンゾーンのセキュリティ制限をかいくぐって
任意のスクリプトを実行され、システムが危険にさらされる恐れがある。
23 :名無しさん@お腹いっぱい。:04/10/21 12:30:15 ID:1JiVy6XO
>>11
IE はタブ化する予定はないって話聞いたな
IE はタブ化する予定はないって話聞いたな
24 :名無しさん@お腹いっぱい。:04/10/21 12:32:41 ID:taMG+eXG
>>23
Longhornに搭載予定のIE7でタブ化するってきいてるけど?
Longhornに搭載予定のIE7でタブ化するってきいてるけど?
25 :名無しさん@お腹いっぱい。:04/10/21 12:36:15 ID:oXtkHTP6
なんでIE叩きスレになるのか分からん。
26 :名無しさん@お腹いっぱい。:04/10/21 12:37:44 ID:NH6v1DnW
見た目に分かる大きな改良は、Longhornまで取っておくのがMS
27 :名無しさん@お腹いっぱい。:04/10/21 13:09:11 ID:7JEAepwy
KonquerorってことはSafariもか?
28 :名無しさん@お腹いっぱい。:04/10/21 13:48:00 ID:b8JcvCOu
2ちゃんブラウザにも似たような脆弱性があるよな。スレッドタブを切り替えても
カキコウインドウの送信先は切り替わらないので誤爆カキコが発生するというヤツ。
カキコウインドウの送信先は切り替わらないので誤爆カキコが発生するというヤツ。
29 :名無しさん@お腹いっぱい。:04/10/21 14:32:03 ID:hxrQvIsv
仕様です
30 :名無しさん@お腹いっぱい。:04/10/21 15:21:28 ID:VAU7yPqO
ファイヤーフォックスとサファリも?早くパッチだせ!
31 :名無しさん@お腹いっぱい。:04/10/21 15:27:00 ID:0xfj2ucD
やっぱ素のIEが一番だね
32 :名無しさん@お腹いっぱい。:04/10/21 15:28:18 ID:0LDTzxsk
>>25
Mozilla、Opera、Mac信者が大量に沸くから
Mozilla、Opera、Mac信者が大量に沸くから
33 :名無しさん@お腹いっぱい。:04/10/21 15:30:09 ID:VAU7yPqO
ファイヤーフォックスとサファリも?早くパッチだせ!
34 :名無しさん@お腹いっぱい。:04/10/21 15:36:24 ID:wGe8wROu
> このうち1つの欠陥は、タブウィンドウで悪質なウェブサイトを開くと、そのサイトから
> 別のタブウィンドウに入力された情報にアクセスされるおそれがある、というもの。
タブウィンドウ間でクロスサイトスクティプティングの障害が発生すると言うこと?
> またもう1つは、悪質なウェブサイトが、別のタブウィンドウで開かれているサイトのものと
> 見せかけて、ダイアログボックスを表示することができてしまう、というものだ。
これはアクティブでないタブウィンドウ(内のスクリプト)からダイアログが表示できちゃうと言うことか。
> 別のタブウィンドウに入力された情報にアクセスされるおそれがある、というもの。
タブウィンドウ間でクロスサイトスクティプティングの障害が発生すると言うこと?
> またもう1つは、悪質なウェブサイトが、別のタブウィンドウで開かれているサイトのものと
> 見せかけて、ダイアログボックスを表示することができてしまう、というものだ。
これはアクティブでないタブウィンドウ(内のスクリプト)からダイアログが表示できちゃうと言うことか。
35 :名無しさん@お腹いっぱい。:04/10/21 15:40:30 ID:Wy7StosH
>>25
なんでもかんでも一番主流なものにケチつけるのがカコイイと思ってるバカが多いから
なんでもかんでも一番主流なものにケチつけるのがカコイイと思ってるバカが多いから
36 :名無しさん@お腹いっぱい。:04/10/21 15:41:41 ID:yTVoC19s
firefox には adblock があるからそもそも悪質なウェブサイトを開くことがないわけだが・・・
つぅか悪質なウェブサイトってナニ?誰が決めたの?
つぅか悪質なウェブサイトってナニ?誰が決めたの?
37 :名無しさん@お腹いっぱい。:04/10/21 15:42:49 ID:F+CHJxkn
というか、>>22以外はIE叩きレス無い気がするんですが。
38 :名無しさん@お腹いっぱい。:04/10/21 15:51:12 ID:BMK/E+l7
タブブラウザじゃないからこそ強気になれますね。
39 :名無しさん@お腹いっぱい。:04/10/21 15:56:44 ID:wGe8wROu
40 :名無しさん@お腹いっぱい。:04/10/21 16:01:28 ID:Ci5BHaM2
セキュリティの高さを謳っても、しょせんはWindows上で動くアプリに過ぎないから、
OSレベルのセキュリティが甘ければ何使っても同じ。
…ってことだろ。
OSレベルのセキュリティが甘ければ何使っても同じ。
…ってことだろ。
41 :名無しさん@お腹いっぱい。:04/10/21 16:03:36 ID:yTVoC19s
42 :名無しさん@お腹いっぱい。:04/10/21 16:14:34 ID:xfF06Dkh
>>40
>>1の引用文によればLinuxでも起きるわけだが
>Mozilla Foundationの複数のブラウザ、Opera、Linux用のKonquerorなどのタブブラウザに、
~~~~~~~~~~~~~~~~~~~~~
>>1の引用文によればLinuxでも起きるわけだが
>Mozilla Foundationの複数のブラウザ、Opera、Linux用のKonquerorなどのタブブラウザに、
~~~~~~~~~~~~~~~~~~~~~
43 :名無しさん@お腹いっぱい。:04/10/21 17:22:52 ID:TlcLkb9V
タブブラウザって有用でつか?
44 :名無しさん@お腹いっぱい。:04/10/21 19:10:15 ID:XAAtAND9
んで、わしら一般人のPCが危険にさらされるって?
具体的にどんな具合に危険なんだ?
漏洩してまずい情報とかもないし。
具体的にどんな具合に危険なんだ?
漏洩してまずい情報とかもないし。
45 :名無しさん@お腹いっぱい。:04/10/21 19:24:53 ID:y3SC5xZb
リファラーを拾って、閲覧履歴を解析
どういう嗜好を持ってるかを探し出す
対象になった場合、その嗜好を潰す事で広範なダメージを与えることが
できる。恩をきせたい場合は、それを回復させればよい。
NTTに言ってた奴から学んだもっともアクドイ手法だ。
どういう嗜好を持ってるかを探し出す
対象になった場合、その嗜好を潰す事で広範なダメージを与えることが
できる。恩をきせたい場合は、それを回復させればよい。
NTTに言ってた奴から学んだもっともアクドイ手法だ。
46 :名無しさん@お腹いっぱい。:04/10/21 19:25:02 ID:bIR/yUwu
>KDE Projectは、19日(米国時間)にリリースした最新バージョンのKonquerorで
>この問題を修正している。また、Mozilla Foundationのエンジニアリング担当ディ
>レクターChris Hoffmanは、この問題はFirefox 1.0出荷時には修正されるはずだと
>述べている。Firefox 1.0はあと2週間ほどでリリースされる見込み。Operaからはコ
>メントが得られていない。
ん?Firefoxって、1.0が出てるんじゃなかったっけ?
>この問題を修正している。また、Mozilla Foundationのエンジニアリング担当ディ
>レクターChris Hoffmanは、この問題はFirefox 1.0出荷時には修正されるはずだと
>述べている。Firefox 1.0はあと2週間ほどでリリースされる見込み。Operaからはコ
>メントが得られていない。
ん?Firefoxって、1.0が出てるんじゃなかったっけ?
47 :名無しさん@お腹いっぱい。:04/10/21 19:26:57 ID:y3SC5xZb
威信を回復させたら、今度は実行犯の加害者にフォローを
やらせて対象の周囲を取り囲む。これでかごの鳥にしたつもり
担って、首謀者はしめしめと思うわけだ。
ところが、そんなの見透かしてる人間も居ると。
やらせて対象の周囲を取り囲む。これでかごの鳥にしたつもり
担って、首謀者はしめしめと思うわけだ。
ところが、そんなの見透かしてる人間も居ると。
48 :名無しさん@お腹いっぱい。:04/10/21 19:28:30 ID:jgCsIpRd
>>46
今のはPreview Releaseじゃね?
今のはPreview Releaseじゃね?
49 :名無しさん@お腹いっぱい。:04/10/21 21:18:37 ID:6Oo5v7aC
「Sleipnir」「Firefox」などのタブ切り換え型Webブラウザーに存在する脆弱性
Secuniaで報告されたソフト以外のWebブラウザーも編集部にて検証
http://www.forest.impress.co.jp/article/2004/10/21/tabbrowsersecad.html
Secuniaで報告されたソフト以外のWebブラウザーも編集部にて検証
http://www.forest.impress.co.jp/article/2004/10/21/tabbrowsersecad.html
50 :名無しさん@お腹いっぱい。:04/10/21 21:25:41 ID:uoL3A7PN
基本的な質問でゴメソ、
タブブラウザってどういうのなの?
それがわからないからちんぶんかんぷん。
タブブラウザってどういうのなの?
それがわからないからちんぶんかんぷん。
51 :名無しさん@お腹いっぱい。:04/10/21 21:51:42 ID:DnjKIAs6
>>40 の結論は Linux も Windows 並にセキュリティが甘いと言うことだ w
52 :名無しさん@お腹いっぱい。:04/10/21 22:07:58 ID:J7sU6H7J
タブブラウザ使ったら負けかなとおもっている
53 :名無しさん@お腹いっぱい。:04/10/21 22:21:18 ID:wGe8wROu
ニートキター。
54 :名無しさん@お腹いっぱい。:04/10/21 22:33:26 ID:cS6Va8Dr
で、続々と修正予定が発表される中、ネスケは相変わらず放置ですか
55 :名無しさん@お腹いっぱい。:04/10/21 22:34:36 ID:yFc+mHOl
OS X用のCaminoがあって、Safariが無いと言うことは、Safariには影響なしってコトだろう。
56 :名無しさん@お腹いっぱい。:04/10/21 22:43:14 ID:fzU2ZMhn
>>55
残念ながらsafariも入ってます。
Mozilla、Operaなど多くのブラウザにダイアログボックス偽装の脆弱性
http://internet.watch.impress.co.jp/cda/news/2004/10/21/5090.html
>Mozilla 1.7、Mozilla Firefox、Opera、Netscape 7、Safariなど多くのブラウザで脆弱性が確認されている。
IE6の2つの脆弱性も含め、ほとんどのwebブラウザ壊滅状態。
残念ながらsafariも入ってます。
Mozilla、Operaなど多くのブラウザにダイアログボックス偽装の脆弱性
http://internet.watch.impress.co.jp/cda/news/2004/10/21/5090.html
>Mozilla 1.7、Mozilla Firefox、Opera、Netscape 7、Safariなど多くのブラウザで脆弱性が確認されている。
IE6の2つの脆弱性も含め、ほとんどのwebブラウザ壊滅状態。
57 :名無しさん@お腹いっぱい。:04/10/21 22:43:15 ID:BMK/E+l7
javascriptはろくな事しないな。
offにしてると警告出すサイトって何考えてるんだろ?と思う。
offにしてると警告出すサイトって何考えてるんだろ?と思う。
58 :名無しさん@お腹いっぱい。:04/10/21 22:47:16 ID:TrsQPNvM
http://internet.watch.impress.co.jp/cda/news/2004/10/21/5090.html
> 本脆弱性は、各Webブラウザーのタブ切り換え機能に存在し、
>非アクティブなタブ内のWebページ上で表示されるはずのダイアログボックスが、
>アクティブなタブのWebページ上に表示されてしまうというもの。
>その状態でダイアログボックスにデータを入力して送信してしまうと、
>アクティブなタブのWebページではなく、非アクティブなタブのWebページに送信されるため、
>信頼できるWebサイト上でデータを送信したように見せかけることができる仕組みだ。
・・・・なあ、こんなの「脆弱性」っていうのか?
> 本脆弱性は、各Webブラウザーのタブ切り換え機能に存在し、
>非アクティブなタブ内のWebページ上で表示されるはずのダイアログボックスが、
>アクティブなタブのWebページ上に表示されてしまうというもの。
>その状態でダイアログボックスにデータを入力して送信してしまうと、
>アクティブなタブのWebページではなく、非アクティブなタブのWebページに送信されるため、
>信頼できるWebサイト上でデータを送信したように見せかけることができる仕組みだ。
・・・・なあ、こんなの「脆弱性」っていうのか?
59 :名無しさん@お腹いっぱい。:04/10/21 23:59:09 ID:gJMvpjOV
プラグインでアクティブにしないということが容易にできるのだが・・・
60 :名無しさん@お腹いっぱい。:04/10/21 23:59:16 ID:hnJidCBD
>>58
確かにな〜。
>信頼できるWebサイト上でデータを送信したように見せかけることができる仕組みだ。
って、信頼できるサイトからリンクを開いたら、そんなダイアログが出るか?
一体、どんな状況を想定してるんだか。
確かにな〜。
>信頼できるWebサイト上でデータを送信したように見せかけることができる仕組みだ。
って、信頼できるサイトからリンクを開いたら、そんなダイアログが出るか?
一体、どんな状況を想定してるんだか。
61 :名無しさん@お腹いっぱい。:04/10/22 00:04:34 ID:fMGGZsOt
またバグかよ・・・
62 :名無しさん@お腹いっぱい。:04/10/22 00:09:40 ID:2aLn99iw
今、safariとfoxでテストサイト試してみたが……
おい!safari安全だぞ!安心しろ!
1.0.3使用。
ダイアログが表示される時、ちゃんと元のタブにかえってる。デマじゃん。
風評被害で訴えた方がいいんじゃないか?
おい!safari安全だぞ!安心しろ!
1.0.3使用。
ダイアログが表示される時、ちゃんと元のタブにかえってる。デマじゃん。
風評被害で訴えた方がいいんじゃないか?
63 :名無しさん@お腹いっぱい。:04/10/22 00:09:44 ID:fMGGZsOt
怪しげなサイトなんかで、「こちらのサイトで認証受けてください」とか有名なサイトに
別窓リンクで誘導して何か入力窓表示させて、まるで有名サイトが要求しているような
フリしてIDやら何やらを掠め取ったりするって事か?よくわからん。あるのか?そんなサイト。
まあ、いつもそういうサイト使ってない人ならだまされるのかもな・・
そんな入力窓があったかどうか知らなかった人とか。オレオレでだまされるくらいだし。
別窓リンクで誘導して何か入力窓表示させて、まるで有名サイトが要求しているような
フリしてIDやら何やらを掠め取ったりするって事か?よくわからん。あるのか?そんなサイト。
まあ、いつもそういうサイト使ってない人ならだまされるのかもな・・
そんな入力窓があったかどうか知らなかった人とか。オレオレでだまされるくらいだし。
64 :名無しさん@お腹いっぱい。:04/10/22 00:16:03 ID:fMGGZsOt
FireFox 1.0PRでは、そうなるな。
スクリプトをワンボタンでオンオフできるプラグインとか無かったっけか?
スクリプトをワンボタンでオンオフできるプラグインとか無かったっけか?
65 :名無しさん@お腹いっぱい。:04/10/22 00:18:46 ID:bdCO7DEs
>>63
騙される人は、どんな手口でも騙される。
「あなたのメールソフトの安全性をチェックするために、
以下のページでメールのidとパスワードを入力してください」
なんてものでも騙される奴は必ずいる。絶対やらないように。
騙される人は、どんな手口でも騙される。
「あなたのメールソフトの安全性をチェックするために、
以下のページでメールのidとパスワードを入力してください」
なんてものでも騙される奴は必ずいる。絶対やらないように。
66 :名無しさん@お腹いっぱい。:04/10/22 00:24:16 ID:2aLn99iw
icab駄目だった……これが一番ショック
手持ちのブラウザ、OKなのはsafariだけか……
しかしこの「タブブラウザの脆弱性」とやら、
別窓オープンでも、つまりIEでも同じだぞ?
手持ちのブラウザ、OKなのはsafariだけか……
しかしこの「タブブラウザの脆弱性」とやら、
別窓オープンでも、つまりIEでも同じだぞ?
67 :名無しさん@お腹いっぱい。:04/10/22 00:25:04 ID:fMGGZsOt
つまるところ、時間差攻撃なのだな?
68 :名無しさん@お腹いっぱい。:04/10/22 00:28:17 ID:fMGGZsOt
昔、Donut使ってる時は、デフォではスクリプト類offで使ってて、どうしても必要なサイトだけ
イヤイヤonにしたりしてたが「どうしても必要なサイトのつくり」にされたら、意味ないわけだ。
つか久しぶりにDonutでやったら、当然のように引っかかった。L18だが。
イヤイヤonにしたりしてたが「どうしても必要なサイトのつくり」にされたら、意味ないわけだ。
つか久しぶりにDonutでやったら、当然のように引っかかった。L18だが。
69 :名無しさん@お腹いっぱい。:04/10/22 01:02:18 ID:5LrnlN95
yes
70 :名無しさん@お腹いっぱい。:04/10/22 01:36:18 ID:3EPpTf10
>>60
ってか、これが脆弱性だというなら、ブラウザとかHTMLとかJavascript
の仕様そのものに脆弱性があるとしか・・・。
だってあれだろ、NewWindowオープンになるようにして、しかも
「アドレスバーもステータスバーもツールバーも出さない」みたいに設定して、
しかも右クリック禁止にしておいて、「信頼できるサイト」のまるままコピーを
作っちゃえば騙されちゃうわけだろ?
ってか、これが脆弱性だというなら、ブラウザとかHTMLとかJavascript
の仕様そのものに脆弱性があるとしか・・・。
だってあれだろ、NewWindowオープンになるようにして、しかも
「アドレスバーもステータスバーもツールバーも出さない」みたいに設定して、
しかも右クリック禁止にしておいて、「信頼できるサイト」のまるままコピーを
作っちゃえば騙されちゃうわけだろ?
71 :名無しさん@お腹いっぱい。:04/10/22 08:01:57 ID:AofiOtD2
面白いなぁ。
IE だけに見つかった脆弱性は叩かれるけど。
多くのブラウザで見つかるとそうでもないのね w
IE だけに見つかった脆弱性は叩かれるけど。
多くのブラウザで見つかるとそうでもないのね w
72 :名無しさん@お腹いっぱい。:04/10/22 08:10:17 ID:CCykGIVe
73 :名無しさん@お腹いっぱい。:04/10/22 11:07:12 ID:fLMyMOhW
確信した。これは、注目を集める話題づくりか、提灯記事だ。
テストサイトのリンクをタブブラウザで新規タブとして開くのと、IEで新規ウィンドウで開くのと、結果は全く同じ。
JAVAでの入力画面が表示されたときにバックグラウンドでJAVAを呼び出したサイトの画面にもどるブラウザだけ、セキュアってことになるな。
テストサイトのリンクをタブブラウザで新規タブとして開くのと、IEで新規ウィンドウで開くのと、結果は全く同じ。
JAVAでの入力画面が表示されたときにバックグラウンドでJAVAを呼び出したサイトの画面にもどるブラウザだけ、セキュアってことになるな。
74 :名無しさん@お腹いっぱい。:04/10/22 12:58:19 ID:54TKM4Y9
…別ウィンドウで開いても同じことなのか。
なんでタブ機能があるブラウザだけ問題にされてるんだ?
なんでタブ機能があるブラウザだけ問題にされてるんだ?
75 :名無しさん@お腹いっぱい。:04/10/22 13:53:00 ID:HlpKYzn0
>>60
本物のサイト使ったフィッシング詐欺が出来るから使える脆弱性じゃない?
本物のサイト使ったフィッシング詐欺が出来るから使える脆弱性じゃない?
>>75
>またもう1つは、悪質なウェブサイトが、
>別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックス
>を表示することができてしまう、というものだ。
テストサイトにある、これか。
しかしこれ、タブブラウザであるかどうかが関係ない。
マルチウィンドウのブラウザ全般だ。
73で指摘したように、
「新規のウィンドウかタブを前面で開く」+「JAVAによる入力画面が開く」
この二つが同時に行われた時、入力画面が信頼できるサイトの上で表示されることになる。
これって、けっこう影響範囲が重大かもしれん。OS関係ないし。
>またもう1つは、悪質なウェブサイトが、
>別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックス
>を表示することができてしまう、というものだ。
テストサイトにある、これか。
しかしこれ、タブブラウザであるかどうかが関係ない。
マルチウィンドウのブラウザ全般だ。
73で指摘したように、
「新規のウィンドウかタブを前面で開く」+「JAVAによる入力画面が開く」
この二つが同時に行われた時、入力画面が信頼できるサイトの上で表示されることになる。
これって、けっこう影響範囲が重大かもしれん。OS関係ないし。
しかし、これじゃ「タブブラウザ使わないから安全」と思いこむ大多数が、この脆弱性の被害にあいそうじゃないか?
78 :名無しさん@お腹いっぱい。:04/10/22 14:31:39 ID:BttNCg+G
79 :名無しさん@お腹いっぱい。:04/10/22 15:57:21 ID:mHar8DjA
てか、こんなの脆弱性に入るのか?
80 :名無しさん@お腹いっぱい。:04/10/22 17:49:00 ID:rwGgSQbo
IEでやってみたけどこの場合ダイアログボックスが手前に来ない
81 :名無しさん@お腹いっぱい。:04/10/23 21:31:03 ID:pPNQQ4my
>>49
>□Secunia - Multiple Browsers Dialog Box Spoofing Test
>ttp://secunia.com/multiple_browsers_dialog_box_spoofing_test/
信頼できるサイトをリンクから新規タブで前面に開いた時に、リンク元が呼び出したJavaコンソールが、
まるで信頼できるサイトの入力画面のようにふるまう……とのことだが、
safariでは前面タブがリンク元のサイトに戻ってしまう。
それに、他のタブブラウザでも新規タブを背面にする設定の人は引っかからない。
デフォはたいてい背面と思うけど……
>□Secunia - Multiple Browsers Form Field Focus Test
>ttp://secunia.com/multiple_browsers_form_field_focus_test/
信頼できるサイトをリンクから新規タブで開いた時、新規タブを前面に固定してそのとき入力した内容が、
リンク元のフォームに入力されてしまう。
……フォームずれずれだし、safariでは入力を受け付けてくれません。
>□Secunia - Multiple Browsers Dialog Box Spoofing Test
>ttp://secunia.com/multiple_browsers_dialog_box_spoofing_test/
信頼できるサイトをリンクから新規タブで前面に開いた時に、リンク元が呼び出したJavaコンソールが、
まるで信頼できるサイトの入力画面のようにふるまう……とのことだが、
safariでは前面タブがリンク元のサイトに戻ってしまう。
それに、他のタブブラウザでも新規タブを背面にする設定の人は引っかからない。
デフォはたいてい背面と思うけど……
>□Secunia - Multiple Browsers Form Field Focus Test
>ttp://secunia.com/multiple_browsers_form_field_focus_test/
信頼できるサイトをリンクから新規タブで開いた時、新規タブを前面に固定してそのとき入力した内容が、
リンク元のフォームに入力されてしまう。
……フォームずれずれだし、safariでは入力を受け付けてくれません。
>>73
> テストサイトのリンクをタブブラウザで新規タブとして開くのと、IEで新規ウィンドウで開くのと、結果は全く同じ。
違う。他のタブブラウザだとポップアップウインドウが
悪質なサイトからタブで開いたページ上に出ている。
この例でいうと悪質なサイト(Secunia)から開いたcitibank上が出した(ようにみえる)
ポップアップウインドウに入力したデータを悪質なサイトが取得できる(ようにみえる)
これはIEでは起こらない問題。
> テストサイトのリンクをタブブラウザで新規タブとして開くのと、IEで新規ウィンドウで開くのと、結果は全く同じ。
違う。他のタブブラウザだとポップアップウインドウが
悪質なサイトからタブで開いたページ上に出ている。
この例でいうと悪質なサイト(Secunia)から開いたcitibank上が出した(ようにみえる)
ポップアップウインドウに入力したデータを悪質なサイトが取得できる(ようにみえる)
これはIEでは起こらない問題。