【セキュリティ】IEの「戻る」ボタンは危険 cookieやローカルファイルを盗まれる危険性が指摘
1 :快速特派員φ ★:
http://slashdot.jp/article.pl?sid=02/04/16/0239259&mode=thread
IEの「戻る」ボタンを押すと、cookieを盗まれたり、
ローカルファイルを盗まれたり、ローカルコマンドを起動されたりする危険があるとのこと。
発見者のデモを試してみると、デモページのリンクを辿ってGoogleサイトに飛び、
そこで「戻る」ボタンを押した瞬間、Googleサイト用のcookieが抜き取られた。
したがって、「怪しいサイトで変なリンクを辿ったら、戻ろうとせず、
ウィンドウを閉じた方がいい」ということになる。
この欠陥の原因はおそらく次の通り。JavaScriptは、
「<A HREF="javascript:alert(document.domain)">…</A>」と
いったようにURIとしても書くことができるのだが、このとき、
このスクリプトは、実行前のページのドメイン上で動作する。
ここまでは仕様通りなのだが、「戻る」ボタンで戻る先のURLが
「javascript:…」であった場合に、戻る前のページのドメイン上
でそれが動作してしまうらしく、そこに問題がある。そこで、
そのスクリプトの内容を、「先に進むときには単に目的ページへ
飛ばし、戻ってきたときには悪意ある処理をする」と
いうif文とすることで、攻略できてしまったようだ。
発見者は、Microsoftへは去年の11月12日に報告し、
さらに今年3月25日にも連絡したとのこと。
■依頼により立てました:
http://news.2ch.net/test/read.cgi/newsplus/1018582647/844
IEの「戻る」ボタンを押すと、cookieを盗まれたり、
ローカルファイルを盗まれたり、ローカルコマンドを起動されたりする危険があるとのこと。
発見者のデモを試してみると、デモページのリンクを辿ってGoogleサイトに飛び、
そこで「戻る」ボタンを押した瞬間、Googleサイト用のcookieが抜き取られた。
したがって、「怪しいサイトで変なリンクを辿ったら、戻ろうとせず、
ウィンドウを閉じた方がいい」ということになる。
この欠陥の原因はおそらく次の通り。JavaScriptは、
「<A HREF="javascript:alert(document.domain)">…</A>」と
いったようにURIとしても書くことができるのだが、このとき、
このスクリプトは、実行前のページのドメイン上で動作する。
ここまでは仕様通りなのだが、「戻る」ボタンで戻る先のURLが
「javascript:…」であった場合に、戻る前のページのドメイン上
でそれが動作してしまうらしく、そこに問題がある。そこで、
そのスクリプトの内容を、「先に進むときには単に目的ページへ
飛ばし、戻ってきたときには悪意ある処理をする」と
いうif文とすることで、攻略できてしまったようだ。
発見者は、Microsoftへは去年の11月12日に報告し、
さらに今年3月25日にも連絡したとのこと。
■依頼により立てました:
http://news.2ch.net/test/read.cgi/newsplus/1018582647/844
|
|
|
2 :名無しさん@お腹いっぱい。:02/04/16 13:28 ID:fJ2rRBZZ
オパーイ
3 :名無しさん@お腹いっぱい。:02/04/16 13:29 ID:T805Rjda
まじですか
4 :トョータ ◆4vTyota. :02/04/16 13:29 ID:E9pLll8T
漏れはマウスの戻るボタンを押してるから大丈夫だな。
5 :名無しさん@お腹いっぱい。:02/04/16 13:29 ID:Qr3Yi6uk
マジですか?
6 :名無しさん@お腹いっぱい。:02/04/16 13:30 ID:k5x8a7CM
今更って感じになっちゃったなこれ。。。
7 :名無しさん@お腹いっぱい。:02/04/16 13:30 ID:8o3nSF29
イパーイ
8 :名無しさん@お腹いっぱい。:02/04/16 13:30 ID:IsyXZXpx
しいたけは大丈夫?
9 :名無しさん@お腹いっぱい。:02/04/16 13:30 ID:K/7AD9WF
↓ この人 多分 俺の親戚
10 :名無しさん@お腹いっぱい。:02/04/16 13:30 ID:psen2Lm0
よしきをつけます
ありがとうきしゃさん
ありがとうきしゃさん
11 :名無しさん@お腹いっぱい。:02/04/16 13:32 ID:GDd7d6eT
4ヶ月ほったらかしですか?
12 :名無しさん@お腹いっぱい。:02/04/16 13:32 ID:Qr3Yi6uk
NNを使うべきなのか・・・
13 :名無しさん@お腹いっぱい。:02/04/16 13:32 ID:N6F99Dyb
IEでは逆走しないので、平気です。
14 : :02/04/16 13:32 ID:A9QbjiVX
クッキーなどしらぬ
15 :名無しさん@お腹いっぱい。:02/04/16 13:34 ID:ORY65KAQ
_____________
∧_∧ /
<=(-●口●) < 私は平和を願う市民団体です
( ) \
| | |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
(__)_)
世界同時革命を!
武装闘争を!!
プロレタリア革命を!!
∧_∧ /
<=(-●口●) < 私は平和を願う市民団体です
( ) \
| | |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
(__)_)
世界同時革命を!
武装闘争を!!
プロレタリア革命を!!
16 :名無しさん@お腹いっぱい。:02/04/16 13:34 ID:IzPnsfKI
いつもの事さ
17 :名無しさん@お腹いっぱい。:02/04/16 13:35 ID:vSbyFGEX
IEの中止ボタンがしいたけに見えて困る
18 :名無しさん@お腹いっぱい。:02/04/16 13:35 ID:WL7cnvDP
穴だらけでもうよくわからん。
SP出せや。
SP出せや。
19 :名無しさん@お腹いっぱい。:02/04/16 13:35 ID:FFZbpILq
さすがはマイクロソフト。
素晴らしい対応だ
素晴らしい対応だ
20 :名無しさん@お腹いっぱい。:02/04/16 13:35 ID:LrAjWonu
これを修正するのに一々windows updateに行かなきゃならんのも面倒くさい。
21 :名無しさん@お腹いっぱい。:02/04/16 13:35 ID:eN3LuqFx
java系切っててもダメ?
とりあえず、ieは何度更新すればいいにゃら・・・。
とりあえず、ieは何度更新すればいいにゃら・・・。
22 :名無しさん@お腹いっぱい。:02/04/16 13:35 ID:oGY1QD+j
クッキーなどぞんぜぬ
23 :名無しさん@お腹いっぱい。:02/04/16 13:36 ID:GDd7d6eT
>>21
漏れもそうオモタ。
漏れもそうオモタ。
クッキーと言えば
ミスターイトウだな
ミスターイトウだな
25 :名無しさん@お腹いっぱい。:02/04/16 13:36 ID:CUKGqf0P
これも自然現象です。
26 :名無しさん@お腹いっぱい。:02/04/16 13:37 ID:5hI1FvFM
javascript切ればいい
むしろスクリプトオンで
エロサイト回れるかっつーのコノー(・∀・)!
むしろスクリプトオンで
エロサイト回れるかっつーのコノー(・∀・)!
27 :名無しさん@お腹いっぱい。:02/04/16 13:38 ID:LrAjWonu
×箱の傷問題を放置しようとしてた会社だからネ。
ユーザーナメ過ぎ
ユーザーナメ過ぎ
28 :名無しさん@お腹いっぱい。:02/04/16 13:38 ID:Uz/yYUkV
IE など使わぬからどーでも良い。
29 :名無しさん@お腹いっぱい。:02/04/16 13:39 ID:IsyXZXpx
2ちゃんしかやってないから大丈夫。
30 :名無しさん@お腹いっぱい。:02/04/16 13:39 ID:CXMDUyr1
>>17
俺は検索ボタンの虫めがねがドラえもんの手に見える
俺は検索ボタンの虫めがねがドラえもんの手に見える
31 :名無しさん@お腹いっぱい。:02/04/16 13:40 ID:OCx6iR4r
なんか今更という気もするがこれ速報か?
PC初心者かPC一般板だろこれ。
次は「ブラウザクラッシャーに気をつけよう」
「プロクシーを使っても匿名でないことが判明」
みたいなスレ立てるつもりかね。
PC初心者かPC一般板だろこれ。
次は「ブラウザクラッシャーに気をつけよう」
「プロクシーを使っても匿名でないことが判明」
みたいなスレ立てるつもりかね。
32 :名無しさん@お腹いっぱい。:02/04/16 13:40 ID:7GL2l6MN
オペラ使ってるから問題なし?
33 :名無しさん@お腹いっぱい。:02/04/16 13:41 ID:AcY8Fb/H
これってずーっと昔からあった問題だったと思うんだが。
直してなかったのか。
直してなかったのか。
34 :名無しさん@お腹いっぱい。:02/04/16 13:42 ID:31rEz0tr
>>31
なにクロウトぶってる。アホが。
なにクロウトぶってる。アホが。
35 :名無しさん@お腹いっぱい。:02/04/16 13:42 ID:OxoS4TVT
インターネットは、頭悪くなるか危ないかつながらないかってことだ。
36 :名無しさん@お腹いっぱい。:02/04/16 13:42 ID:/1NPg0QJ
ページ開くと、別にWindowsが開くページってなんとかならんのかなぁ
37 :名無しさん@お腹いっぱい。:02/04/16 13:43 ID:xIDUpv/+
これは恐いインターネットだな
38 :名無しさん@お腹いっぱい。:02/04/16 13:43 ID:TcV4lv57
危険性が指摘
危険性が指摘
危険性が指摘
危険性が指摘
危険性が指摘
危険性が指摘
危険性が指摘
危険性が指摘
危険性が指摘
39 :トョータ ◆4vTyota. :02/04/16 13:44 ID:E9pLll8T
ページ開くと、別にMacintoshが開くページってなんとかならんのかなぁ
40 :名無しさん@お腹いっぱい。:02/04/16 13:44 ID:bBoqP/B1
IE以外だと何がよいのじゃ?ネスケか?オペラか?
41 :名無しさん@お腹いっぱい。:02/04/16 13:45 ID:0mf4Yv1K
これってあれですよね、「ボタンを押す事」が危険なんじゃなくて
「戻る」という操作全部が危険?ということ?だよね?
「戻る」という操作全部が危険?ということ?だよね?
42 :名無しさん@お腹いっぱい。:02/04/16 13:46 ID:5hI1FvFM
ドメイン跨ぐ穴はまだ沢山ありそう。
フレームとか諸悪の根源だ悪の枢軸だ
フレームとか諸悪の根源だ悪の枢軸だ
43 : :02/04/16 13:46 ID:oNkv8SU/
44 :名無しさん@お腹いっぱい。:02/04/16 13:46 ID:CUKGqf0P
>>40
もじら。
もじら。
45 :トョータ ◆4vTyota. :02/04/16 13:47 ID:E9pLll8T
つーかこのスレのレスはマヂなのかネタなのかわからん(w
SP3キボン…
47 :名無しさん@お腹いっぱい。:02/04/16 13:47 ID:vSbyFGEX
もざいく
ページを開くと勝手にズボンのファスナーが
開くHPをなんとかしてホスィ
開くHPをなんとかしてホスィ
49 :名無しさん@お腹いっぱい。:02/04/16 13:48 ID:xIDUpv/+
50 :名無しさん@お腹いっぱい。:02/04/16 13:50 ID:ayF3ykaU
51 :名無しさん@お腹いっぱい。:02/04/16 13:50 ID:TcV4lv57
ページを開くとMIDIが鳴り出すサイトからは
税金を取って下さい。
税金を取って下さい。
52 :名無しさん@お腹いっぱい。:02/04/16 13:50 ID:LrAjWonu
IEをwin98から簡単に切り離したい。
かちゅーしゃとかも使ってないし
かちゅーしゃとかも使ってないし
53 :名無しさん@お腹いっぱい。:02/04/16 13:51 ID:k5x8a7CM
>>51
結構びっくりしたりするんだよなw
結構びっくりしたりするんだよなw
54 : :02/04/16 13:51 ID:oNkv8SU/
>>48
はじめから「ファスプリクト」をONにしとけ。
はじめから「ファスプリクト」をONにしとけ。
55 : :02/04/16 13:52 ID:Nqm6XOB7
タブブラウザ使ってると戻る、進むなんてあまり使わないよ。
56 :名無しさん@お腹いっぱい。:02/04/16 13:54 ID:5hI1FvFM
正直、ここまで穴が見つかるのは
MSの評価人数(ユーザー数)が多大なせいで
実はNNにも穴は見つけられるのではないか?
と思っている人↓
MSの評価人数(ユーザー数)が多大なせいで
実はNNにも穴は見つけられるのではないか?
と思っている人↓
57 :名無しさん@お腹いっぱい。:02/04/16 13:55 ID:LrAjWonu
>>48
簡単に熱暴走するなよ
簡単に熱暴走するなよ
58 :名無しさん@Emacs:02/04/16 13:56 ID:ZeTHuSvj
59 :名無しさん@お腹いっぱい。:02/04/16 13:58 ID:LrAjWonu
NC4.7系使ってるけど
確かネスケにもmozillaだかからクッキーのぞかれる危険性があるバージョンもあるとか。
fire wallあれば大丈夫なんかネ。
確かネスケにもmozillaだかからクッキーのぞかれる危険性があるバージョンもあるとか。
fire wallあれば大丈夫なんかネ。
60 :名無しさん@お腹いっぱい。:02/04/16 13:58 ID:bBoqP/B1
おいお前ら、IEのツールバーにez Searchなるものが勝手に出るんじゃ。
困っているから削除方法を教えろ。いや教えてください。お願いします m(._.)m ペコッ
困っているから削除方法を教えろ。いや教えてください。お願いします m(._.)m ペコッ
61 :名無しさん@お腹いっぱい。:02/04/16 13:59 ID:Uz/yYUkV
>>52 消してみれば?
62 :名無しさん@お腹いっぱい。:02/04/16 13:59 ID:qQkFUX+F
まじですか?
「戻る」ボタンが習慣化してるんだけど一体どうしたら。。。
「戻る」ボタンが習慣化してるんだけど一体どうしたら。。。
63 :名無しさん@お腹いっぱい。:02/04/16 14:00 ID:Q+sU2RhH
ということは、アングラとネットバンクをタブブラウザで同時に見ている私は破滅ですかね?
64 :名無しさん@Emacs:02/04/16 14:02 ID:ZeTHuSvj
65 :名無しさん@お腹いっぱい。:02/04/16 14:04 ID:LrAjWonu
66 :名無しさん@お腹いっぱい。:02/04/16 14:04 ID:N6F99Dyb
67 : :02/04/16 14:05 ID:6LF+E0Aa
もう「IE危険」はお腹いっぱい。飽きちゃった。
「実はIEは安全」とか言われたら、逆に驚くけど。
「実はIEは安全」とか言われたら、逆に驚くけど。
68 :名無しさん@お腹いっぱい。:02/04/16 14:05 ID:qQkFUX+F
>>67 ワラタ
69 :名無しさん@Emacs:02/04/16 14:07 ID:ZeTHuSvj
>>65
とりあえず変なスクリプトが動かないように全てのスクリプトを切るか、
もしくは許可を求めるようにすると良い。
予算があるなら各マシンにインストールするパーソナルファイアー
ウオールのスクリプトブロック機能を使ってもいいが、基本的にスクリプトの
ほうがウイルスよりも防ぎにくいので効果は疑問。
とりあえず変なスクリプトが動かないように全てのスクリプトを切るか、
もしくは許可を求めるようにすると良い。
予算があるなら各マシンにインストールするパーソナルファイアー
ウオールのスクリプトブロック機能を使ってもいいが、基本的にスクリプトの
ほうがウイルスよりも防ぎにくいので効果は疑問。
70 :名無しさん@お腹いっぱい。:02/04/16 14:08 ID:0mf4Yv1K
不具合の飽和攻撃に敗けるな諸君!
マクイロソフトの思う壷だぞ!
マクイロソフトの思う壷だぞ!
71 :名無しさん@お腹いっぱい。:02/04/16 14:10 ID:eN3LuqFx
operaってフリー?
そろそろ本気で乗り換えようかと。
そろそろ本気で乗り換えようかと。
72 :名無しさん@お腹いっぱい。:02/04/16 14:11 ID:PgfcEB+a
ゲイツたん。。。。。。。。。。。。。。。。
73 :名無しさん@お腹いっぱい。:02/04/16 14:12 ID:LrAjWonu
74 :名無しさん@お腹いっぱい。:02/04/16 14:12 ID:3+Ff346L
JAVA、cookieを普段から無効にしている俺は大丈夫なのか?
75 :名無しさん@Emacs:02/04/16 14:14 ID:ZeTHuSvj
>>66
当時のIE批判は機能不足によるもので、最近のIE批判はセキュリティホールによるもの。
両者は分けて考えた方がいいよ。
唯一当時から変わらない批判は、サーバが送信してきたContent-Type:を無視すると
いう問題。Netscape(Mozilla)はContent-Type:を厳密に解釈するので、
Content-Type: text/plain
(HTMLではなくてふつうのテキストファイル)
とサーバが送ってくれば、中身が何であれテキストとして表示するけど、
IEはファイルを途中までダウンロードして中身が何物であるかを判別してから
自分で解釈して表示する。
まぁ確かにIEの動きは、GIFファイルだろうとJPEGファイルだろうと
Content-Type: application/octet-stream
(その他のバイナリ形式のファイル)
で送ってくる昔のWebサーバには有効だったんだけどね。
当時のIE批判は機能不足によるもので、最近のIE批判はセキュリティホールによるもの。
両者は分けて考えた方がいいよ。
唯一当時から変わらない批判は、サーバが送信してきたContent-Type:を無視すると
いう問題。Netscape(Mozilla)はContent-Type:を厳密に解釈するので、
Content-Type: text/plain
(HTMLではなくてふつうのテキストファイル)
とサーバが送ってくれば、中身が何であれテキストとして表示するけど、
IEはファイルを途中までダウンロードして中身が何物であるかを判別してから
自分で解釈して表示する。
まぁ確かにIEの動きは、GIFファイルだろうとJPEGファイルだろうと
Content-Type: application/octet-stream
(その他のバイナリ形式のファイル)
で送ってくる昔のWebサーバには有効だったんだけどね。
76 :名無しさん@お腹いっぱい。:02/04/16 14:15 ID:FLfpnZlN
>>71
でっかいバナー広告がうざくなければフリー
でっかいバナー広告がうざくなければフリー
77 :名無しさん@Emacs:02/04/16 14:16 ID:ZeTHuSvj
78 :名無しさん@お腹いっぱい。:02/04/16 14:16 ID:bBoqP/B1
おいお前ら、IEのツールバーにez Searchなるものが勝手に出るんじゃ。
困っているから削除方法を教えろ。いや教えてください。お願いします m(._.)m ペコッ
困っているから削除方法を教えろ。いや教えてください。お願いします m(._.)m ペコッ
79 :名無しさん@Emacs:02/04/16 14:17 ID:ZeTHuSvj
80 :名無しさん@お腹いっぱい。:02/04/16 14:18 ID:k2D/Nrd6
>>74
大丈夫です。
大丈夫です。
81 : はぐれメタル ◆1AkfQGck :02/04/16 14:18 ID:BKgu751e
82 :名無しさん@Emacs:02/04/16 14:19 ID:ZeTHuSvj
83 :名無しさん@お腹いっぱい。:02/04/16 14:22 ID:N6F99Dyb
Opera、無料になった時にDLしたんだけど、使いづらかったのですぐに削除しました。
昔のOperaの方が、シンプルで軽くて使いやすかった…。
昔のOperaの方が、シンプルで軽くて使いやすかった…。
84 :名無しさん@お腹いっぱい。:02/04/16 14:24 ID:eN3LuqFx
Opera&タブブラウザだとどう?
厨房質問スマソ。
厨房質問スマソ。
85 :名無しさん@お腹いっぱい。:02/04/16 14:25 ID:wxSO2CkX
全然わかんね
86 :名無しさん@お腹いっぱい。:02/04/16 14:25 ID:0pGLy4Xw
やっぱりまだJavaScriptは普段からoffの方がいいね。
87 :名無しさん@お腹いっぱい。:02/04/16 14:28 ID:wnadkolm
88 :名無しさん@お腹いっぱい。:02/04/16 14:30 ID:iVYprXrj
男なら黙ってセキュリティレベル低。
89 :名無しさん@お腹いっぱい。:02/04/16 14:32 ID:/bX+2MZL
やはり、米クソは糞。
90 :名無しさん@お腹いっぱい。:02/04/16 14:37 ID:/bX+2MZL
マイクロは真面目にやってるのかね・・・!?(#´∀`)頃してぇ
91 : :02/04/16 14:41 ID:6LF+E0Aa
凶箱みたいに家庭用に降りてくれば消費者の視点で叩かれるんだが、
パソコンのぬるま湯の世界では駄目なのかな。
パソコンのぬるま湯の世界では駄目なのかな。
92 :名無しさん@お腹いっぱい。:02/04/16 14:41 ID:crbHV9y2
俺なんて十年前から知ってるよ。
おまえら遅すぎ!
おまえら遅すぎ!
93 :名無しさん@お腹いっぱい。:02/04/16 14:42 ID:5hI1FvFM
94 :名無しさん@お腹いっぱい。:02/04/16 14:42 ID:iVYprXrj
dめいdくyjieE"りてにれbpjkjkdぇウkを&A?ц
95 :名無しさん@お腹いっぱい。:02/04/16 14:53 ID:0LxQx6pG
9795
96 :名無しさん@お腹いっぱい。:02/04/16 14:53 ID:0LxQx6pG
96
97 :名無しさん@お腹いっぱい。:02/04/16 14:53 ID:0LxQx6pG
97
ゲット
ゲット
98 :京都県民がらすき以下略φ ★:02/04/16 14:53 ID:???
98ゲット
99 :反省厨@京都県民がらすき以下略φ ★:02/04/16 14:54 ID:???
そして
99
GET
:::
99
GET
:::
100 :名無しさん@お腹いっぱい。:02/04/16 14:54 ID:/bX+2MZL
99ゲットじゃなくて100ゲットじゃなくて(以下略
101 :反省厨@京都県民がらすき以下略φ ★:02/04/16 14:54 ID:???
激しく忍者
゚U゚
゚U゚
102 :反省厨@京都県民がらすき以下略φ ★:02/04/16 14:55 ID:???
ヽ(`Д´)ノ
103 :名無しさん@お腹いっぱい。:02/04/16 14:55 ID:/bX+2MZL
( ´ _ゝ`)<いい年こいてゲットして恥ずかしくないんですかね・・・?
104 :名無しさん@お腹いっぱい。:02/04/16 14:57 ID:/bX+2MZL
>>102
( ´ _ゝ`)悪ィな、一度やってみたかったんで。ところであの女はどうした?
( ´ _ゝ`)悪ィな、一度やってみたかったんで。ところであの女はどうした?
105 :名無しさん@お腹いっぱい。:02/04/16 14:57 ID:0pGLy4Xw
荒らすな
106 :deadheat:02/04/16 14:58 ID:0LxQx6pG
10位 205票 . ... 1.8%
まさとφ ☆ ◆ASHorGAg @まさとφ ★
11位 193票 . ... 1.7%
京都県民がらすき以下略φ ★
まさとφ ☆ ◆ASHorGAg @まさとφ ★
11位 193票 . ... 1.7%
京都県民がらすき以下略φ ★
107 :反省厨@京都県民がらすき以下略φ ★:02/04/16 14:59 ID:???
>>104
放置してたらいなくなった
放置してたらいなくなった
108 :名無しさん@お腹いっぱい。:02/04/16 15:03 ID:fb97k+3Y
やれやれ。
109 :名無しさん@お腹いっぱい。:02/04/16 15:03 ID:0E8D6Qa8
>>1
何を今さら...
何を今さら...
110 :名無しさん@お腹いっぱい。:02/04/16 15:04 ID:0WVQ6YpY
中止ボタンはしいたけ。
111 :名無しさん@お腹いっぱい。:02/04/16 15:05 ID:6IZFhKZQ
荒らしは幼稚
\
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄V ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
/ ____ヽ /  ̄  ̄ \
| | /, −、, -、l /、 ヽ
| _| -| ・|< || |ヘ |―-、 |
, ―-、 (6 _ー っ-´、} q -´ 二 ヽ |
| -⊂) \ ヽ_  ̄ ̄ノノ ノ_/ー | |
| ̄ ̄|/ (_ ∧ ̄ / 、 \ \ | /
ヽ ` ,.|  ̄ | | O===== |
`− ´ | | _| / |
| (t ) / / |
そのとおりだ!!
\
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄V ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
/ ____ヽ /  ̄  ̄ \
| | /, −、, -、l /、 ヽ
| _| -| ・|< || |ヘ |―-、 |
, ―-、 (6 _ー っ-´、} q -´ 二 ヽ |
| -⊂) \ ヽ_  ̄ ̄ノノ ノ_/ー | |
| ̄ ̄|/ (_ ∧ ̄ / 、 \ \ | /
ヽ ` ,.|  ̄ | | O===== |
`− ´ | | _| / |
| (t ) / / |
そのとおりだ!!
112 :名無しさん@Emacs:02/04/16 15:07 ID:ZeTHuSvj
キャップ持ちが荒らしとは・・
もはや+のモラルも地に落ちた。
もはや+のモラルも地に落ちた。
113 :名無しさん@お腹いっぱい。:02/04/16 15:07 ID:eN3LuqFx
java系とscript系、cookieはいつも通り切っとけって事?
厨房からの最後の質問。
厨房からの最後の質問。
114 :名無しさん@お腹いっぱい。:02/04/16 15:09 ID:EK+vwDuI
ニュー速かとオモタら+だな、ココ。
115 :名無しさんお腹いっぱい。:02/04/16 15:10 ID:dX2GY7yT
>>104
ここにいますが?
ここにいますが?
116 :名無しさん@Emacs:02/04/16 15:11 ID:ZeTHuSvj
117 :名無しさん@お腹いっぱい。:02/04/16 15:11 ID:4EObPV4W
>>17のせいで最早シイタケにしか見えない
118 :名無しさん@お腹いっぱい。:02/04/16 15:12 ID:crbHV9y2
眼医者行って来い。
119 :名無しさん@お腹いっぱい。:02/04/16 15:13 ID:/bX+2MZL
120 :名無しさん@お腹いっぱい。:02/04/16 15:15 ID:zNWH/dOR
googleの検索仕様がかわったね
121 :名無しさん@お腹いっぱい。:02/04/16 15:17 ID:0YHhyxGC
cookie+Java切ったらMSNのサイトが見れない。別に見たく無いんだけどさ。
>>17 飾り包丁いりですか。ワラタよ。
>>17 飾り包丁いりですか。ワラタよ。
122 :名無しさん@お腹いっぱい。:02/04/16 15:19 ID:EM60RouR
クッキー食いてぇ♪
123 : :02/04/16 15:21 ID:jVhTEPVH
124 :名無しさん@お腹いっぱい。:02/04/16 15:22 ID:Un+BaFiJ
http://www.st.ryukoku.ac.jp/~kjm/security/memo/ms-security.html
ま、今月に入ってからパッチを当ててないやつは
ここでも見てパッチを当てるんだな。
>>1の修正は含まれてないみたいだが。
ま、今月に入ってからパッチを当ててないやつは
ここでも見てパッチを当てるんだな。
>>1の修正は含まれてないみたいだが。
125 :名無しさん@お腹いっぱい。:02/04/16 15:23 ID:pgUjVUPx
SpyBlockerならスクリプトブロックしてくれるみたいだけど
最新版、シェアウェアになっちゃったんだよね・・・
最新版、シェアウェアになっちゃったんだよね・・・
126 :名無しさん@お腹いっぱい。:02/04/16 15:32 ID:1TFgFO+M
いや、履歴ボタンのほうが裏返したシイタケっぽい
中止ボタンはオニテングダケ
中止ボタンはオニテングダケ
127 :名無しさん@お腹いっぱい。:02/04/16 15:35 ID:/bX+2MZL
美味しいブラウザはないかね・・・(´д`)
128 :名無しさん@お腹いっぱい。:02/04/16 15:35 ID:qm2HJWiE
IEが危険なわけないだろ。
その根拠は簡単。
危険ならシェアを伸ばすことはありえないから。
危険だと煽るのは工作員。
その根拠は簡単。
危険ならシェアを伸ばすことはありえないから。
危険だと煽るのは工作員。
129 : :02/04/16 15:36 ID:G5Iyb3D7
俺は平気だよ、かちゅ〜しゃつかってるから
130 : :02/04/16 15:38 ID:ciCyLY+x
>>128
縦読みできませんが?
縦読みできませんが?
131 :名無しさん@お腹いっぱい。:02/04/16 15:39 ID:/bX+2MZL
>>129
それは2ch専用ブラウザでしょうが・・・ちなみに俺のはJane
それは2ch専用ブラウザでしょうが・・・ちなみに俺のはJane
132 :名無しさん@お腹いっぱい。:02/04/16 15:40 ID:lT67HBLc
僕のおしりの穴もうんこが盗まれそうです。
133 : :02/04/16 15:42 ID:G5Iyb3D7
>>131
んじゃあ、ホットゾヌに変えるよ…
んじゃあ、ホットゾヌに変えるよ…
134 :名無しさん@お腹いっぱい。:02/04/16 15:46 ID:/bX+2MZL
>>133
いや、変えんでいい。別に好き嫌いとかないから。
いや、変えんでいい。別に好き嫌いとかないから。
135 :メキシコ野球:02/04/16 15:55 ID:q+TJbnwh
ほんとに立ててるし
136 :名無しさん@お腹いっぱい。:02/04/16 15:56 ID:fH6FEKMQ
クッキーぐらいでケチケチすんな
137 :名無しさん@お腹いっぱい。:02/04/16 16:24 ID:rPOCfYJ/
ったくIEはこれだから…
漏れはCuamだから大丈夫だけど
漏れはCuamだから大丈夫だけど
138 :名無しさん@お腹いっぱい。:02/04/16 16:25 ID:EM60RouR
漏れのクッキーなんかに見ても何もねぇーぞ(藁
139 :名無しさん@お腹いっぱい。:02/04/16 16:30 ID:PMg7Ncx1
ネットショッピングの時にクレジットカード使うんだけど、
番号とか有効期限ってクッキーに入ってるの?
ここからぬかれて悪用されることもあるのか?
番号とか有効期限ってクッキーに入ってるの?
ここからぬかれて悪用されることもあるのか?
140 :名無しさん@お腹いっぱい。:02/04/16 16:31 ID:tYU6Or1F
これはIEの問題なのか?JAVAの問題じゃないのか?と聞いてみる。
>>128
クソして死ね。
クソして死ね。
142 :名無しさん@お腹いっぱい。:02/04/16 16:40 ID:AWBYbrAK
143 :名無しさん@お腹いっぱい。:02/04/16 16:45 ID:td4NFaKe
144 :名無しさん@お腹いっぱい。:02/04/16 16:47 ID:i2Md9Qbf
>>139
カード番号についてはショッピングサイトで入力したことがあればcookieに残って
いるかもしれない。ただしショッピングサイトのシステム次第なので、cookieに保
存しなかったり、あっても暗号化していたりする場合もある。
有効期限とか契約者名等の情報はブラウザから自発的に入力していない限り残るは
ずはないので問題なし。あるとすれば一緒に入力した配達先住所とか電話番号とか
の情報かな。
ただ、今回の問題限定で言うと、
1. 何よりもユーザがセキュリティホールを突くスクリプトが設置されているサイト
に訪問しなければならないということ
2. 盗めるのは「戻る」を押すタイミングだけであるということ
3. 悪意を持つスクリプト側で事前にドメイン名を直接指定しなければならないと
いうこと
なので、有名どころでカード番号を入力した買い物をしていると危ないかも。
カード番号についてはショッピングサイトで入力したことがあればcookieに残って
いるかもしれない。ただしショッピングサイトのシステム次第なので、cookieに保
存しなかったり、あっても暗号化していたりする場合もある。
有効期限とか契約者名等の情報はブラウザから自発的に入力していない限り残るは
ずはないので問題なし。あるとすれば一緒に入力した配達先住所とか電話番号とか
の情報かな。
ただ、今回の問題限定で言うと、
1. 何よりもユーザがセキュリティホールを突くスクリプトが設置されているサイト
に訪問しなければならないということ
2. 盗めるのは「戻る」を押すタイミングだけであるということ
3. 悪意を持つスクリプト側で事前にドメイン名を直接指定しなければならないと
いうこと
なので、有名どころでカード番号を入力した買い物をしていると危ないかも。
145 :名無しさん@お腹いっぱい。:02/04/16 16:48 ID:tGiO6m09
Micro$oftは糞以下。
それ以外言うこと無し。
それ以外言うこと無し。
146 :名無しさん@お腹いっぱい。:02/04/16 16:49 ID:qm2HJWiE
147 :名無しさん@お腹いっぱい。:02/04/16 16:56 ID:i2Md9Qbf
>>140
javascriptの仕様自体でいうと確かにセキュリティに関する言及はほとんど無く
て危険だと思うけど、それをIE内で実装(利用)するのはMicrosoftなんだから、
Microsoftがきっちり堅牢なセキュリティを構築しなければならないと思う。
javascriptの仕様自体でいうと確かにセキュリティに関する言及はほとんど無く
て危険だと思うけど、それをIE内で実装(利用)するのはMicrosoftなんだから、
Microsoftがきっちり堅牢なセキュリティを構築しなければならないと思う。
148 : :02/04/16 17:04 ID:ciCyLY+x
戻るボタンなくせば問題は無いよな。
149 :名無しさん@Emacs:02/04/16 17:11 ID:ZeTHuSvj
>>149
うん。OEとかIISとか…
うん。OEとかIISとか…