【話題】Lynxを除くほぼ全てのブラウザが影響を受ける脅威の攻撃「クリックジャッキング」
セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな
恐ろしいブラウザに対する脅威に対する警告を発している。
その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。
この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで
議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が
準備されるまではこの話題を公にすることが取りやめられていたものだ。
(中略)
参加者が限定されていたOWASPの発表に参加していた人物によれば、この問題は確かに
ゼロデイ脆弱性で、すべてのブラウザに影響があり、しかもJavaScriptとは関係がないものだという。
一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクを
コントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。
この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。
これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。
この攻撃方法を使った場合、ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上の
あらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。
(中略)
Hansen氏によれば、脅威のシナリオについてMicrosoftとMozillaの両方と議論し、両社はそれぞれ
個別にこれが難しい問題であり、すぐに実現できる簡単な解決方法はないことに同意したという。
Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。
(後略)
*+*+ ZDNET Japan 2008/09/27[**:**] +*+*
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381028,00.htm
2 :
名無しさん@九周年:2008/09/27(土) 18:01:44 ID:1XigOywI0
なんでw3m無視したん?
3 :
名無しさん@九周年:2008/09/27(土) 18:01:59 ID:kH2IkESF0
おら、わくわくしてきたぞ
4 :
名無しさん@九周年:2008/09/27(土) 18:02:32 ID:33610osIO
3なら宝クジ300万円当たる
5 :
名無しさん@九周年:2008/09/27(土) 18:02:55 ID:e9+HtxhW0
僕の肛門もセキュリティホールです。
6 :
名無しさん@九周年:2008/09/27(土) 18:02:57 ID:FUYB/V0+O
どうせろと
7 :
名無しさん@九周年:2008/09/27(土) 18:03:26 ID:6Prg+V1h0
8 :
名無しさん@九周年:2008/09/27(土) 18:03:41 ID:eGwrkHb3O
問題はなに
9 :
名無しさん@九周年:2008/09/27(土) 18:04:04 ID:8wV9Dpld0
おいそれよりウィルスバスターの最新版がパソコンに
及ぼす影響を何とかしろ
早く踏みたいな
11 :
名無しさん@九周年:2008/09/27(土) 18:04:59 ID:alB/rgh30
「同意する」ボタンや「購入」ボタンが、自動的にクリックされかねないということか?
ようするに
俺が知らない間に荒らしてても俺の所為じゃない?
13 :
名無しさん@九周年:2008/09/27(土) 18:05:07 ID:Iituu2wr0
NCSA Mosaic 使いの俺には関係ないな
14 :
名無しさん@九周年:2008/09/27(土) 18:05:28 ID:SaFzq/W00
専ブラはおkってことか
Lynxって何だ。山猫か
アッシュ・リンクスか
何か都市伝説っぽいな.
18 :
名無しさん@九周年:2008/09/27(土) 18:07:02 ID:OlKp7QvU0
>>6 ブラウザにコード読ませる前に遮断するしかないな
いかにフィルターの精度を高めるかが鍵になる
>>13 テキストブラウザ以外全部アウトっぽいからダメなんじゃね?
広告踏ませるぐらいしか思いつかないんだが
22 :
名無しさん@九周年:2008/09/27(土) 18:08:13 ID:iLYFmizJ0
w3mは?
23 :
名無しさん@九周年:2008/09/27(土) 18:08:18 ID:yHe7DvGci
これは酷いインターネッツですね
24 :
名無しさん@九周年:2008/09/27(土) 18:08:26 ID:ZudFe4M10
クリッククリックジャッキング!
25 :
名無しさん@九周年:2008/09/27(土) 18:08:37 ID:2NBGtzN60
デマウイルス乙
どのブラウザ使っても同じならもう気にしてもしょうがなくね?(´・ω・`)
ウィンドウシステムレベルの問題だったりして
28 :
名無しさん@九周年:2008/09/27(土) 18:10:13 ID:p29wMDQK0
29 :
名無しさん@九周年:2008/09/27(土) 18:10:28 ID:SaFzq/W00
そもそも実際被害にあった人はいるのか?
き…脆弱性
31 :
名無しさん@九周年:2008/09/27(土) 18:10:50 ID:saaXoL/F0
どういう仕組みなんだろうね?
よくわからない
よくわかんないけど
WebページのGUIにまったく反映させずバックグラウンドで
スクリプト実行用のプラグインを使わずにブラウザの内部コマンドを
自由に実行できるつーこと?
> ページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックする
分かりやすい例えのつもりっぽい↑が逆に分かりにくい元凶のような。。。
33 :
名無しさん@九周年:2008/09/27(土) 18:11:11 ID:8XHp8w9pO
アスラン・カーレンリースか
34 :
名無しさん@九周年:2008/09/27(土) 18:11:27 ID:Ia/osMut0
クリック操作くらい乗っ取られてもそのサイト内だけだろ
大したことねーじゃん
35 :
名無しさん@九周年:2008/09/27(土) 18:11:29 ID:prdW55uq0
>>11 けど、個人情報が無い状態で、
それをクリックしても、分かるのはIPアドレスくらいだろ?
それよりもアクティブ]とかの許諾ボタンも触れるなら、
そっちのが問題っぽい気がする
も…脆弱性
37 :
名無しさん@九周年:2008/09/27(土) 18:12:15 ID:fZQ1VAoE0
いきなりHDDのデータが吹っ飛ぶの?
よもや今頃になってLynx最強伝説が始まろうとは・・・
>>20 なつかしいいいいいいい!!!
存在忘れてたわ
白地に白のリンク文字書いて、うっかり踏ませるとかいうツマラン事じゃないよな?
俺はインターネットなんてやったことないから関係ないよ
予告.inにアクセスすると警視庁爆破予告スレをVIPに自動で立ち上げる
ってウイルスみたいなのがあったがそれか?
43 :
名無しさん@九周年:2008/09/27(土) 18:13:21 ID:oFtJxt5i0
ネットオワタ
ここは怖いインターネッツですね
45 :
名無しさん@九周年:2008/09/27(土) 18:14:33 ID:yHe7DvGci
おれの兄貴がインターネットの幹部だから
おれは大丈夫だよ
お前らザマァw
46 :
名無しさん@九周年:2008/09/27(土) 18:14:49 ID:OlKp7QvU0
キーロガーとかインストールされたらどうすんだよ低脳どもが
47 :
名無しさん@九周年:2008/09/27(土) 18:15:01 ID:YIheU4Qi0
マック派の多数派潰し工作の涙ぐましい努力もついにここまで来たか
48 :
名無しさん@九周年:2008/09/27(土) 18:15:24 ID:63Tl/Axx0
で具体的にどんな被害が出るの?
オレ様秘蔵のエロ画像と動画が流出?
49 :
名無しさん@九周年:2008/09/27(土) 18:15:31 ID:15zTAKF/0
見た覚えが無いのにリンクが訪問済みの色に変わってることがたまにあるな
52 :
名無しさん@九周年:2008/09/27(土) 18:16:21 ID:FC9QxNBk0
ネットバンキングや株取引してる連中には怖いなw
53 :
名無しさん@九周年:2008/09/27(土) 18:16:37 ID:fmBQecqP0
Lynx始まったな。
54 :
名無しさん@九周年:2008/09/27(土) 18:17:36 ID:YIheU4Qi0
55 :
名無しさん@九周年:2008/09/27(土) 18:17:54 ID:qMRj8TW20
Lynxか。X68K最強か?
クルックシャンクス?
絶対安全なリンクをクリックしようとすると、ページが切り替わって
変なとこ踏ませるとか?
リンクをクリックできるということは
なんか勝手にダウンロードさせたりとかもできるんじゃないかな
あー、なるほど、大体わかった
>32
ああ、まったくわからん
↓これ
> ページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックする
64 :
名無しさん@九周年:2008/09/27(土) 18:19:38 ID:FC9QxNBk0
安全なIE7に切り替えろってこった。
65 :
名無しさん@九周年:2008/09/27(土) 18:19:42 ID:yvApOVl90
ブラウザつかわないで、
MSDOSの画面でコマンド打ち込んでインターネットってできるものなの。
66 :
名無しさん@九周年:2008/09/27(土) 18:20:03 ID:4gDea3XCO
俺のOpenJaneもだめなん?
67 :
名無しさん@九周年:2008/09/27(土) 18:20:18 ID:z4BEGRzv0
>>32が何を言ってるのかサッパリわからんあたしはもうLynxを使う以外ないかもしれんね
68 :
名無しさん@九周年:2008/09/27(土) 18:21:18 ID:BFVWfO2Y0
バカだなお前らは
>ユーザーが悪意のあるウェブページを訪れると
って書いてあるじゃないか。ヘンなリンク踏んで知らないサイトとか行かなければ
いいだけだよ
逆に言うと本当に気をつけるなら覚えてないURLは一切踏めないってことだがな
Windowsはスタンドアローンで使用し、ネットはKnoppixで繋げということか。
>>16 コマンドラインから使えるんだぜ?
linuxとかでは結構便利
71 :
名無しさん@九周年:2008/09/27(土) 18:21:44 ID:saaXoL/F0
Lynx for Win32 つかえばおk?
72 :
名無しさん@九周年:2008/09/27(土) 18:21:48 ID:byvWT6Fe0
w3m使いやすいよ
73 :
名無しさん@九周年:2008/09/27(土) 18:21:56 ID:MgdEPgim0
Konquerorは?
BBBは?
情報が足らんぞ。
74 :
名無しさん@九周年:2008/09/27(土) 18:22:12 ID:prdW55uq0
簡単に言うと、危険なスクリプトやアクティブ]が実行可能って事だろ?
どうしろって言うんだよ?
>>9 ひでぇよな、結局CMOSクリアさせられたよ。
あれこそウィルスそのものじゃん。
俺operaだから大丈夫だ
具体的な例がないからイメージしにくいな・・・わざとなのかな。
っつーかどんな被害が想定されんのか全くわからん。
対策不可能なセキュリティホールとか数学者が考えそうだな
>>当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。
>>この情報では技術的な情報は伝わらないだろうが、これがわれわれに今できる最善のことだ。
このスクリプト機能ってJavaScriptじゃないの?
この技術はロシアと中国がすごい研究してるね
実用化できれば1兆円規模の収益になるって話だね
htmlのレンダリングの最中に任意のURIにリクエストヘッダ送信できちゃうとかそういう問題があるってこと?
83 :
名無しさん@九周年:2008/09/27(土) 18:26:14 ID:keXbbYRv0
w3mはおkなのかそうでないのか明言してくれ
84 :
名無しさん@九周年:2008/09/27(土) 18:26:19 ID:Pdrezlku0
Internet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。
Firefox2は大丈夫なん?
これで飛ばすだけってことじゃないよな?まさか?
確かにLynxでは確認画面が出るが、他のブラウザは黙って飛んでしまう。
<meta http-equiv="refresh"content="0; url=ほげほげ
lynxに乗り換えようかな
87 :
名無しさん@九周年:2008/09/27(土) 18:26:43 ID:E1nie4uM0
>>68 俺は行った事無いけど2chとかいう匿名掲示板のスレには
危険なサイトのURL貼られたりするらしいから危険じゃね?
専ブラもこれの影響あるのかこれ?
88 :
名無しさん@九周年:2008/09/27(土) 18:26:47 ID:4FUANOgy0
なんか知らんがnortonが勝手にインストールされててひどい目に遭ってるんだけど・・
アンインストールした後もパソコンがおかしい
89 :
名無しさん@九周年:2008/09/27(土) 18:26:48 ID:S3R/Qh5U0
Gekkoは?
90 :
名無しさん@九周年:2008/09/27(土) 18:27:19 ID:kbkdgC/x0
googleのやつはダイジョブ?
91 :
名無しさん@九周年:2008/09/27(土) 18:27:53 ID:IbAkZOX50
テキストブラウザ最強ということだな。
92 :
名無しさん@九周年:2008/09/27(土) 18:28:28 ID:/ywwRXj60
エロサイトに仕掛けられまくりそうな悪寒
>>63 ページ上のあらゆるボタンっつーことは、そのページを作った「悪意のある製作者が」
その「悪意のあるボタン」を、勝手に押してしまうっつー?
ってか、そんなの、最初から押した状態で作ればいいんでね?みたいな。
ひょっとしてアレか。自分の作ったページの中に、「他所のサイトの」ボタンとか引用
して貼り付けといて、それ勝手に押させるみたいなことが出来るってか?
WebベースのメールとかSNSサイトとかで、パスワード設定されてても自動ログオンに
しておいたら「ログオン状態で出来る操作」が、悪意のある他人にされてしまう可能性
があるとかか?
わからんな。
対策ないの・・・
俺のカシオワープロにモジュラージャックがない!
これも感染の疑いがあるやもしれん
96 :
名無しさん@九周年:2008/09/27(土) 18:31:09 ID:prdW55uq0
>>80 これは原文に書いてるけど、後略じゃなくて、
>>1にちゃんと載せないと、ページ上のリンクやボタンをクリックされて、
なにが問題なの?って思う人がほとんどだろ
記者の能力の低さに失望だね
この一文があれば、基本的にほぼ何でも出来るって、
ほとんどの人がすぐに分かるはずだからね
またLinux最強伝説か
98 :
名無しさん@九周年:2008/09/27(土) 18:31:40 ID:BcyuK2vc0
Amaya 使いの俺はどうすれば?
っつーか、勝手にリンク踏んだとしてもその先のセキュリティがしっかりしてれば問題なさそうなんだが。
どうなんでしょ
99 :
名無しさん@九周年:2008/09/27(土) 18:32:12 ID:lq8NTE5M0
元記事よく読んだら 攻撃にはDHTMLが必要で
>当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。
なんだから JavaScriptおおいに関係ありじゃんかw
信頼できないサイトにアクセスするのに スクリプトonにしてるやつなんていないだろ
桂様のアレもこのキジャクセイがあるんだろうか?
lynxが除外されるという事はimgタグ関連だな
103 :
名無しさん@九周年:2008/09/27(土) 18:33:01 ID:tz6woldE0
>>1 GoogleChromeが無いけど…もしかして…
104 :
名無しさん@九周年:2008/09/27(土) 18:33:16 ID:DafH6IdD0
おれの兄貴がインターネットの幹部だから
おれは大丈夫だよ
お前らザマァw
105 :
名無しさん@九周年:2008/09/27(土) 18:34:14 ID:tm3kJOFE0
セキュリティー対策に
アクティブXとJAVAスクリプトを動作しないようにしているのだがそれでも危険なの?
要は、プラグインかスクリプト機能にセキュリティホールが見つかったって話で、
その使い方の一つがクリックジャックなだけなんだろ?
だけど、実はただ単に refresh メタタグで飛ぶだけだったりしてな。
マウスが悪いのか?
lynxでもエンターキーでリンクに飛ぶが
なんでそれなら安全なんだ?
勝手に [同意します] ってこと?
最悪の場合、小汚いオッサンとのホモ契約をされてしまうかも?
他人のマシンを使えばおk
Lynxを使っている男の人って
童貞のアニメお宅なんでしょ
悪意あるサイト行かなきゃいいだけじゃん俺大丈夫だ
113 :
名無しさん@九周年:2008/09/27(土) 18:37:06 ID:6Ew0QGFq0
そうだったのか俺もうw3mやめてlynxにするわorz
114 :
名無しさん@九周年:2008/09/27(土) 18:37:16 ID:LhPA7kTX0
115 :
名無しさん@九周年:2008/09/27(土) 18:37:28 ID:Bxx6QIW40
えー、マジで?
こういう事やるのは大抵DQN外人だから、外国サイトっぽいURL踏まなかったら余裕だな
117 :
名無しさん@九周年:2008/09/27(土) 18:37:42 ID:JBzjc8pe0
118 :
名無しさん@九周年:2008/09/27(土) 18:37:53 ID:o4zkN1Pk0
119 :
名無しさん@九周年:2008/09/27(土) 18:38:07 ID:1XigOywI0
いやいや、元記事でも矛盾してんじゃん。
> この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。
と書いておいて
> 当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。
120 :
名無しさん@九周年:2008/09/27(土) 18:38:13 ID:8wV9Dpld0
>>106 >JavaScriptをオフにしても問題は解決しない
だって
121 :
名無しさん@九周年:2008/09/27(土) 18:39:35 ID:Y8UkzGm40
今北
どういう仕組みか分からんことには、
「またFUDか」扱いしかできんぞ(´・ω・`)
122 :
名無しさん@九周年:2008/09/27(土) 18:39:55 ID:BcyuK2vc0
このクリックジャッキング自体には JavaScript が必要ない。
ただ、クリックジャッキングを利用し悪意のあるい JavaScript コードを実行させられてしまう可能性がある。
よって、当面の間は JavaScript とプラグイン機能をオフにしとけってことだろ。
履歴をしらべられてその人の特性とかわかりそうだな。
ピットが使いそうだ。
125 :
名無しさん@九周年:2008/09/27(土) 18:40:33 ID:FS6QShQY0
>>85 のurlのとこにurlだけじゃなくて、パラメタつけとけば
getしたように(つまり、リンクをクリックするとか、method=get
のフォームでボタンをクリックしたように)偽装できるね。
これでページを次々につなげていけば、利用者の意志で複数ページ
を次々にナビゲーションしたようにみせかけられるな。
126 :
名無しさん@九周年:2008/09/27(土) 18:40:40 ID:iMTzVMrh0
> Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまでは
> この話題を公にすることが取りやめられていた
今元ニュース読んできたら
>>80が出てた
Adobeが隠蔽要望て酷くね?Flashとかセキュリティ的にブロックもんだろw
推測だがFlashのプラグインが元凶なんじゃないだろうか。
まず連絡とった会社がMicrosoftとAdobeということだし。
自動でスパイプログラムのダウンロード・実行が承諾されるならかなり危険じゃね?
129 :
名無しさん@九周年:2008/09/27(土) 18:42:08 ID:fPpSMAOhO
Lynx以外であるw3mでも対象となると、imgかframeか。
とりあえずw3mのimgとframeの自動処理のオプションはoffにして情報収集といったところかね。
>>104 >おれの兄貴がインターネットの幹部だから
インターネットの幹部ってなにモン?
インターネットって悪の秘密結社か?
131 :
名無しさん@九周年:2008/09/27(土) 18:42:50 ID:iMTzVMrh0
> この情報では技術的な情報は伝わらないだろう
圧力があって技術的な情報は出せませんという情報w
なにこれ…怖すぎ
133 :
名無しさん@九周年:2008/09/27(土) 18:43:15 ID:XS7AvF3o0
パケットの構造に脆弱性があったりして
134 :
4PT ◆4PToQvwrUo :2008/09/27(土) 18:43:26 ID:B0SbaNLaO
ドリームキャストの俺に隙はなかった
文字だけ表示でも駄目なの?
いやもうすでに使ってるとみるべきかw
記事がでるのは大抵使われた後だからな。
137 :
名無しさん@九周年:2008/09/27(土) 18:44:20 ID:Io+TtTLNO
恩恵を受けるのはただ一人
そいつが犯人だ
元記事に書いてあった
> この攻撃にはDHTMLを必要とする
ということは、アレとかアレですね。
なんだ、このお騒がせ記事はww
139 :
名無しさん@九周年:2008/09/27(土) 18:45:25 ID:Z4fBn8bc0
スレタイ直せ
元記事より
lynx”など”を除いて、ほぼすべてのブラウザに影響がある。
140 :
名無しさん@九周年:2008/09/27(土) 18:45:40 ID:q3TcUhvM0
一時期こういうテキストベース?なソフトがかっこいいと思って色々使ってたなぁw
ファイラやランチャは未だにそれを引きずってる
クリキング(栗王)
デカクリともいふ
142 :
名無しさん@九周年:2008/09/27(土) 18:45:59 ID:k+ePQ3Rs0
NetFrontもだめ?
またLynx使い出すか
>>1 Lynx ってwww
Lynaxだろ、はよ削除しろや
145 :
名無しさん@九周年:2008/09/27(土) 18:47:55 ID:fPpSMAOhO
flash程度なら、youtubeとかを例外にして、その他の全てのレスポンスをproxyで殺しているから、どうでもいい問題なんだがなぁ。
imgやframeだと一括防御が難しいので困ったことだ。
ほぼテキストブラウザーもきっと大丈夫
147 :
名無しさん@九周年:2008/09/27(土) 18:49:47 ID:MgdEPgim0
148 :
名無しさん@九周年:2008/09/27(土) 18:51:41 ID:OYJjdOno0
じゃ 新しいインターネットを作ればいいじゃん
150 :
名無しさん@九周年:2008/09/27(土) 18:52:05 ID:fPpSMAOhO
>>138 てことはw3mの画像ありありで問題なし?
今日は帰宅してから設定変えるのを忘れないようにしようと気を付けていたのだが、そんなことは忘れて朝まで飲み歩いても許されるのか。
151 :
名無しさん@九周年:2008/09/27(土) 18:52:14 ID:8wV9Dpld0
152 :
名無しさん@九周年:2008/09/27(土) 18:52:17 ID:saaXoL/F0
153 :
名無しさん@九周年:2008/09/27(土) 18:52:26 ID:k+ePQ3Rs0
さっそくインスコしたけど画像でねーのか・・・
どうやってしこしこすんだお!
155 :
名無しさん@九周年:2008/09/27(土) 18:52:55 ID:wogL2jPo0
Lynxを除くってことは、w3mは引っかかっちゃうのか。
emacsのw3-modeは?
157 :
名無しさん@九周年:2008/09/27(土) 18:55:34 ID:saaXoL/F0
w3m for win32 ってないの?
158 :
名無しさん@九周年:2008/09/27(土) 18:55:53 ID:ecRRAJbD0
もしかして、これってボディタグの中を1個のアンカータグで全部込むってことじゃないの?
表示されてHTMLページのどこをクリックしても悪意あるURLへ飛ばせる。
lynxだったら全ての文字がリンク状態になっているからこうなっていることがわかるとかいうオチだったりして
つまりCSSの問題てこと?
160 :
:2008/09/27(土) 18:56:09 ID:kMJIYMhO0
え?frameがなんだって?
161 :
名無しさん@九周年:2008/09/27(土) 18:58:56 ID:HECEo8MCO
lynxハジマッタ\(^o^)/
163 :
名無しさん@九周年:2008/09/27(土) 18:59:30 ID:wogL2jPo0
>>80 vbscriptとcobolscript
164 :
名無しさん@九周年:2008/09/27(土) 18:59:43 ID:yraxVn8i0
脅威の内容は悪意のあるページにアクセスすると、ユーザがしならないうちに、
ブラウザに任意のURLを読み込ませる事ができるってことかな。
JavaScriptを使わず、ブラウザが動作する根本的な仕組みを利用するってことは
レンダリング絡みかな。
ほとんどのブラウザが影響を受ける一方、テキストブラウザが影響を受けないってことは、
画像とかスタイルシートとか、そっち方面かな。
ブラウザがMIME−TYPEなどから、コンテンツの内容を自動認識して
それに応じた動作をするあたりも影響してるのかも。
スクリプトやプラグインをOFFにしとけっていうのは、知らないうちに
知らないURLから悪意あるスクリプトやプラグイン読み込まされたときのため
ってことこか。
166 :
名無しさん@九周年:2008/09/27(土) 18:59:56 ID:iu0tm/du0
また .l l \ この問題の危険性 は //U ヽ___/
きじゃくせい \ 【緊急】 レベルです // U :::U:
か! (__) \ 早急に… / // ___ \ :::
(__) \∧∧∧∧ / | | | U ::::
(`Д´#) < き > .|U | | ::U:
_| ̄ ̄||_)_ < の じ > | ├―-┤ U.....::::
/旦|――||// /| .< 予 ゃ > ヽ .....:::::::::
─────────< 感 く >──────────
< _,ノ , 、ヽ、_ ノ< ! せ > ∬∬
(y○')`ヽ) ( ´(y○')< い > モロヨワセイかよ…___
⌒ / ヽ⌒. /∨∨∨∨\ ∧_∧ ||\
うわあ |~ ̄ ̄~.|ぁぁ/ぜいじゃく? \ ( ;´Д`) || |
ぁぁ| |||! i: |||! !|ぁ/どこの文盲だよ(プ\( つ/ ̄||/
ぁぁ| |||| !! !!||| :|/小学生からやり直せw \ヽ |二二二」
167 :
名無しさん@九周年:2008/09/27(土) 19:00:01 ID:2NBGtzN60
中途半端な方法では被害を防げない。今すぐ粉々に破壊すべきだ。
168 :
名無しさん@九周年:2008/09/27(土) 19:00:13 ID:1N/i7v810
こういうニュースが出るたびに思うけどなんで対策とれる前に公表するの?
こういうやり方があるからやってくださいと言ってるようなもんじゃないの?
169 :
名無しさん@九周年:2008/09/27(土) 19:00:43 ID:fPpSMAOhO
>>158 それならlocationやframeやimgにURLを書けば済むんだよなぁ。
>>163 >>vbscriptとcobolscript
これってIEだけじゃなくて、FireFoxとかでも使えるスクリプト?
172 :
名無しさん@九周年:2008/09/27(土) 19:02:41 ID:5KPy1hBC0
悪意のあるウェブページがあるのだったら、善意のあるウェブページがあってもいいと思うのに。
173 :
名無しさん@九周年:2008/09/27(土) 19:02:47 ID:yraxVn8i0
ユーザが意識することなく、ブラウザが勝手に読み込むものといえば
フレームとかファビコンもそうか。結構色々あるな。
174 :
1000レスを目指す男:2008/09/27(土) 19:02:50 ID:QJNnIsyb0
画面上のあらゆるボタンを表示しないようにしたらどうかな。
175 :
名無しさん@九周年:2008/09/27(土) 19:06:07 ID:saaXoL/F0
>>174 むしろこの脆弱性はそれに近いんじゃないかな?
リンクをリンクに見せずに表示して、知らないうちに悪意あるサイトへと飛ばされる・・みたいな。
>>168 セキュリティ関係で対策前に発表されるのは大体次のパターン。
セキュリティ専門家が脆弱性を発見 → 関連各組織に連絡 →
対策取るまで待ってください → 長時間放置 → 専門家ブチ切れて暴露
>>119 >例えばEbayはこの攻撃に弱い。なぜなら、この攻撃にはJavaScriptを必要としないが、
>ウェブページにJavaScriptを組み込むこともできるためだ。
>>150 朝までおk
たぶん設定変えてもダメっぽ。うーんどうすりゃいいんだろうなぁ。
まぁ、そういうサイトが出てきたら一緒に人柱を待とうぜw
スレタイを見た瞬間にw3mが頭に浮かんだ。
同じ事思ってるやつが多くてちょっとびっくり。
>>175 アクセスすると、色んな有益な情報が得られるとか
183 :
名無しさん@九周年:2008/09/27(土) 19:12:38 ID:Ys4rrlXS0
うーんと、
cromeが入ってないのは故意?
184 :
名無しさん@九周年:2008/09/27(土) 19:12:50 ID:1XigOywI0
>>179 で?
スクリプト無効にすると解決するの?しないの?
あ、普通のブラウザのことね<ダメっぽ。
186 :
名無しさん@九周年:2008/09/27(土) 19:13:37 ID:8wV9Dpld0
187 :
名無しさん@九周年:2008/09/27(土) 19:13:41 ID:kZsfhXyp0
そういうサイト開いたら強制終了するようにしたらいいじゃん
189 :
名無しさん@九周年:2008/09/27(土) 19:15:14 ID:m1nye7T/P
グーグルのチャロメはだめなのけ
190 :
名無しさん@九周年:2008/09/27(土) 19:15:23 ID:fPpSMAOhO
これってCSSでレイヤーをかぶせるんじゃねーの?
奥のレイヤーにはゲーム画面を置いて、手前のレイヤーには他人のサイト、例えばオークションサイトの何かの確定画面をiframeで突っ込んで、それを透明で表示させておくとか。
情報集まって対処できるまで、w3mオンリーにしておけば安心ってとこだな。
対策法が無いって恐いんだけど…。
要するに、知らないサイトや変なサイトに行かなきゃ大丈夫なんだよね…?
192 :
名無しさん@九周年:2008/09/27(土) 19:16:09 ID:saaXoL/F0
バックグラウンドの色と文字や画像の色が同じで見えないところをクリックしてしまう
てこと?
>>190 ああ、だから「Flashのゲームなどが」云々書いてあるのか。
lynxおkっていうことで差別化したときに他のブラウザとの違いは画像の表示かな
imgタグのsrc属性に悪意あるURL仕込んどけば読みに行っちゃうよねっていう話では?
それを防ぐっていっても外部呼び出し禁止にされても困るんだけど
バナーとかの実装がめんどくさくなる
>>189 チャロメはすでに穴が発見されてるだろ。
これよか前に発見されてるから、悪意あるサイトもこれより多いはず。
>>178 長時間放置されて何故専門家がブチ切れるのかがわからんな。
>>184 「当面行える唯一の対策≠完全に防げる方法」
勘違いしないようにね。
スクリプトを無効にしておけば、少なくともJavaScript差し込まれて変なことされるようなことはない、ってだけ。
198 :
名無しさん@九周年:2008/09/27(土) 19:20:30 ID:saaXoL/F0
>>195 画像表示が問題なのであれば
どのブラウザでも画像を表示しないようにしたら回避できるのでは?
こうしていらぬ推測をさせることで、新たな手段が余計に発明されていくのでした。
200 :
名無しさん@九周年:2008/09/27(土) 19:21:36 ID:SZ9STzU00
スレタイだけ見てw3mスレになっていると予想
201 :
名無しさん@九周年:2008/09/27(土) 19:21:49 ID:5os00cCU0
ぽまえらよほどLynxて名前が気に入ったんだなwww
正式名称で呼んでるやつ一人もいねーの
202 :
名無しさん@九周年:2008/09/27(土) 19:22:37 ID:S3R/Qh5U0
つまりあれだ。
ブラウズせずに、ソースを講読しろと?
おまえら!lynx馬鹿にすんなよ!
あれ会社でネットするときは最高だぞ
204 :
◆C.Hou68... :2008/09/27(土) 19:23:13 ID:hcLb+cKC0
Operaも仲間に入れていただけて光栄です。
205 :
名無しさん@九周年:2008/09/27(土) 19:23:29 ID:zkcicmil0
>>191 「運良くその仕掛けがされたサイトに行かなければ大丈夫」でしかない。
例えばXSS脆弱性があるサイトに仕込まれていたり
……これは
>>190が言うようなCSSを使った攻撃であれば簡単にできる……
どうみても信頼できるサイトのURLなんだけどそっくりな別のURLだったり
実際に信頼できるサイトのドメインなんだけど、リダイレクトで別のサイトに
飛ばされたり……で、はっきり言って、仕掛けられたら防ぐ方法はない。
例えば、Yahoo!にだってXSS脆弱性はある。
音楽作品の紹介のフリをして貼られた仕掛けアリのURLなんかが
いっぱい出て来たら、全部避けるのは難しそうだ。
206 :
名無しさん@九周年:2008/09/27(土) 19:24:16 ID:lq8NTE5M0
>>190 CSSってそんなことまできるの? あぶないね
CSSの透明にする機能だけブロックすればokなのかな
207 :
名無しさん@九周年:2008/09/27(土) 19:24:59 ID:fPpSMAOhO
>>195 それは悪意あるサイトがUAに対して、指定するURLへのアクセスをさせるだけの話だな。
それは穴ではない。
クリックをジャックするってことは、さらにそこから進んで、指定されたページ(契約の確認ページ)に置かれるリンク先(契約の確定処理)へ、ブラウザーが保持するクッキーと共にアクセスさせるってことになる。
208 :
1000レスを目指す男:2008/09/27(土) 19:25:24 ID:QJNnIsyb0
じゃあ、逆にボタンだらけにしてわけがわからなくしたらどうだろう。
209 :
名無しさん@九周年:2008/09/27(土) 19:26:46 ID:fJG78Trv0
ブラウザを使わなければいいんじゃね?
210 :
名無しさん@九周年:2008/09/27(土) 19:27:03 ID:rvje8/Sx0
img src=“危険なサイト” witdh=0 height=0
こうですか?わかりません><
えーと、よくわからないんだが、簡単に言うと
勝手にクリックされる
ってこと?
ついにAmayaの出番が来た?
213 :
sage:2008/09/27(土) 19:29:10 ID:I6laduKZ0
【話題】Lynxを除くほぼ全てのブラウザが影響を受ける脅威の攻撃「クリックジャ. (p1 of 33)
無料アクセスカウンターofuda.cc「全世界カウント計画」
__________ 2ch検索
2ちゃんねる ■掲示板に戻る■ 全部 1- 最新50 [PR]萌え犬写真館も復活。[PR]
___________________________________________________________________________
【話題】Lynxを除くほぼ全てのブラウザが影響を受ける脅威の攻撃「クリックジャッキング」
1 : ◆SCHearTCPU @説教部屋に来なさい→胸のときめきφ ★:2008/09/27(土)
18:00:48 ID:???0 ?2BP(111)
セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響の
ある、新たな
恐ろしいブラウザに対する脅威に対する警告を発している。
その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple
Safari、Opera、そしてAdobe Flashだ。
この脅
(通常リンク) [→] かリターンキーで選択
矢印キー: [↑][↓]で移動 [→]でリンクを辿る [←]で一つ戻る
[H]ヘルプ[o]設定[p]印刷[g]移動[m]メイン画面[q]終了 /=検索 [Delete]=履歴
214 :
名無しさん@九周年:2008/09/27(土) 19:29:25 ID:whNTA1Co0
今日からlynxしか使わない
でさぁPDFのウィルスの件なんだけどね
mailto:でやるんだよね?
215 :
名無しさん@九周年:2008/09/27(土) 19:31:02 ID:fPpSMAOhO
firefoxはCSSをoffにすることが容易だから、もしcss原因ならゼロデイ攻撃でもユーザーはゼロデイ対処できる。
adblockやjavascript規制アドオンみたいに、許可したサイト以外のcssを無効化できるアドオンがあればいいんだが。
,j;;;;;j,. ---一、 ` ―--‐、_ l;;;;;;
{;;;;;;ゝ T辷iフ i f'辷jァ !i;;;;; Lynxでまともに表示されないサイトは糞
ヾ;;;ハ ノ .::!lリ;;r゛
`Z;i 〈.,_..,. ノ;;;;;;;;> そんなふうに考えていた時期が
,;ぇハ、 、_,.ー-、_',. ,f゛: Y;;f. 俺にもありました
~''戈ヽ `二´ r'´:::. `!
会社でほぼテキストブラウザ使ってるけど
管理者にはどこ見てるとか筒抜けなんだよな
今んところ何も言われないけど
いちいちそんな全員のチェックなんてしないか
218 :
1000レスを目指す男:2008/09/27(土) 19:35:35 ID:QJNnIsyb0
ほんとにどうしたらいいか、誰か教えてよ。
マウス壊しちゃえばいいのかな。
壊しちゃうよ?
>>175 あれだ、あれ
電車の中で女子高生がどうたらでクリック募金の
220 :
名無しさん@九周年:2008/09/27(土) 19:36:05 ID:Y42TM70MO
んなサイト行かなきゃいい。
>>217 どこを見てるとか細かくは調査しないけど、2ちゃんねるとか大手掲示板へのアクセス回数をリスト化して上位陣見張ってたり
勤務中の私的アクセスを禁止してるとこなら時間別社外アクセス数を同様にリスト化して上位陣見張ってたりとか。
要するにCSRF攻撃の新しい効果的な手法が発見されたので
サイトじゃなくてブラウザで対応しろやゴルァと言っているだけ
ためしにできるだけプラグインを切ってみた。
ブラウザが軽いw
これを危険だと言ってしまうとサーバーサイドプッシュプルとかも
危ないって事にならないか?
とリ合えず、社内はPROXYでimgを遮断すればいいのか?
つまるところ、例によってJavaScriptが悪いの?
何が原因なのか
>>1がごちゃごちゃしててようわからん
脆弱性自体はjavascriptの脆弱性じゃないんだけど、
脆弱性を利用してjavascriptのまずいやつを実行できるからjavascript切っとけってことじゃない?
>>227 詳細が公開されてないんだからそりゃ判らないだろ
公表する予定だったんだがAdobeにお願いされたから発表はキャンセルされた
このことから致命的なのはFlash使ったときだけとわかる
大騒ぎするほどのことはなさそうだ
Mosaic は?
231 :
名無しさん@九周年:2008/09/27(土) 20:10:50 ID:q3TcUhvM0
Hidemarnet Explorerは?
こないだのDNS cache poisoningみたいに
大口叩いてまたフカしてるだけだろと思ってたら本物だった
なんてこともあるから詳細が公表されるまで油断しちゃだめだけどな
PSブラウザがこんなとこで役に立つとは
包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。
ZDNet がこの話題を公にしてしまったわけだが...
235 :
名無しさん@九周年:2008/09/27(土) 20:19:45 ID:tNCfA5KY0
lynx (´・ω・`)ショボーン
ERROR:referer情報が変です。(ref1)
おまいら、firefoxでなら防げる方法があるぞ!
教えて欲しかったらモリタポ払え
237 :
名無しさん@九周年:2008/09/27(土) 20:23:00 ID:xz7TJm3Q0
インターネットに安全とか期待する方がおかしいと気がつくべき
ケータイのブラウザはどうなるんだろう?
239 :
名無しさん@九周年:2008/09/27(土) 20:29:54 ID:tNCfA5KY0
UA
Lynx/2.8.6rel.4TH libwww-FM/2.14FM SSL-MM/1.4.1 GNUTLS/1.7.8
モザイクの事も思い出してあげてください。
241 :
名無しさん@九周年:2008/09/27(土) 20:33:37 ID:y8kC44lN0
w3mユーザがちらほらいて安心したw
242 :
名無しさん@九周年:2008/09/27(土) 20:33:56 ID:5h0WNv0aO
悪意のあるサイトって2ちゃん?
>>242 毎日変態新聞の英語版サイトのことじゃね?
lolifoxユーザーの俺は問題ないな
ブラウザの問題っつーよりDHTMLの問題だろ
246 :
名無しさん@九周年:2008/09/27(土) 20:41:59 ID:Tx+lUjffO
UA/braindirect
247 :
名無しさん@九周年:2008/09/27(土) 20:43:08 ID:d9w5UNdZ0
「樹海のおとしもの」を
Lynxで制覇したぜ!
248 :
名無しさん@九周年:2008/09/27(土) 20:47:41 ID:kHUQYEM00
関係ないけど誰かiアプリ版のLynx作ってくれ。
標準でフルブラウザのかわりにLynx搭載したスリムな携帯でたら買うんだけどなぁ。
249 :
名無しさん@九周年:2008/09/27(土) 20:48:34 ID:6343vp6r0
Lynxなんて聞いたこと無い
>ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。
悪意有るサイト内で攻撃が起こっても、何が問題なのって感じで意味がよくわからなんだ。
だれかモット砕いて教えて
251 :
名無しさん@九周年:2008/09/27(土) 20:50:30 ID:JgdEvtN00
w3mは?
>>235 昔はUser-Agent騙れば桶だったんだけど、
それだけじゃ書き込めませんなorz
自分のサイトに誘導して、バナーを裏でクリックさせまくってウマー
悪意あるページ上のあらゆるリンク、ボタンを押せるといっても
悪意あるページで直接悪意あるコードを実行するのと変わらないんじゃ?
別のページにあるボタンを押せるとかならともかく。
これって label を使ってフォームの内容を JavaScriput を使わずにコントロールする話じゃなくて?
なんと、w3mでも無理と申すか。
あなおそろしや。
257 :
名無しさん@九周年:2008/09/27(土) 20:52:59 ID:jguWXHTd0
『クリックジャッキング』
『クリックジャキガン』
………あれ?
258 :
名無しさん@九周年:2008/09/27(土) 20:54:10 ID:c8jxeaIGO
携帯とかPSPはへーきなんだろ?
なるほど、グーグルはこれ利用して成り上がったんだな
Lynx最強伝説
261 :
名無しさん@九周年:2008/09/27(土) 20:58:07 ID:SzWtkejv0
Lynxはフレームに対応してないのがミソじゃあないの?
フレームで同一画面にサブのhtmlを表示させる機能を逆利用して、
外部のやばいリンクをフレームとしてドンドン仕込むとか
262 :
名無しさん@九周年:2008/09/27(土) 20:58:15 ID:9pDhAHac0
lynxとかw3mとか仕事中に2chとかネットサーヒンすんのに凄く便利。
問題は現状防げないと言っているだろうがww
264 :
名無しさん@九周年:2008/09/27(土) 20:59:36 ID:Q8zi40gD0
ワクワクしながらスレに飛びついたマカー涙目
"Lynx"って名前、「こんな凄いブラウザ発見した!」みたいな厨ネタでしか見たことなかったんだがなw
267 :
名無しさん@九周年:2008/09/27(土) 21:02:26 ID:d/Ev5hZW0
UFOくらい嘘くせ
アメ公の新しいオカルトビジネスだろ
仕事中のネットサーフィンは、なんだっけな、FirefoxのプラグインだったかFirefox改変版だったかで、
ワンタッチで全て白黒(文字も写真も)にしたり、文字の大きさ全て同じにしたり、画像なくしてテキスト
だけにしたり、っての重宝したな。その描画部分だけをnotepadとかWordとかExcelの描画部分に
填め込んで使ったりもできた。
今は仕事がないので(r
telnetでアクセスして、
自前でHTML解釈するのが最強だろ。
270 :
名無しさん@九周年:2008/09/27(土) 21:05:15 ID:J0T28LXW0
IE使ってたときどっかのページでかってにカーソルが動いてクリックしてなんかインストールされそうだったけど
タスクマネージャー呼んで助かったけど、見えないんじゃなー。
そういえば昔、何だっけか周辺機器のドライバをインストールするとき、インストーラ起動したら
ドライバインストールの確認(MSに認証されていないドライバをインストールしてもいいですか?
みたいな)のボタンが勝手にポチポチ押されてどんどん自動で進行してびびったことがあったな。
272 :
名無しさん@九周年:2008/09/27(土) 21:08:57 ID:tNCfA5KY0
>>261 それだとファイルアップロードボタンは偽装できないかな?
つか、できんの?
バイナリエディタで開いて脳内HTMLレンダリングしてるから
ブラウザなんて使わん
275 :
名無しさん@九周年:2008/09/27(土) 21:51:25 ID:esUaM3jh0
おれは光ファイバーの点滅を目視して脳内展開してる
277 :
名無しさん@九周年:2008/09/27(土) 22:14:41 ID:saaXoL/F0
278 :
名無しさん@九周年:2008/09/27(土) 22:16:19 ID:KB4I8A1l0
IE6だったらセーフ?
279 :
名無しさん@九周年:2008/09/27(土) 22:17:06 ID:M82YB3oC0
Lynxすげー
280 :
名無しさん@九周年:2008/09/27(土) 22:20:01 ID:tE1Yemyn0
ハッカージャパンが詳細載せないかなw
281 :
名無しさん@九周年:2008/09/27(土) 22:22:19 ID:vXRhYawFO
>262
ネットワークの管理者にもろバレだろw
なるほど。meta の http-equiv="refresh" や img の src や frame とかの url を記述するタグで、
悪意あるサイトの url に get メソッドで引数つけて渡せばいいのか。
>>276 目に頼るでない!穴のあいた紙カードを指で読め
285 :
名無しさん@九周年:2008/09/27(土) 22:40:27 ID:UpdbZ/At0
今はゴルフメーカーでもブラウザ作ってるんだ・・・
恐るべしIT
286 :
名無しさん@九周年:2008/09/27(土) 22:40:28 ID:iMTzVMrh0
>>276 おれはLANケーブルを伝わってくる波動を脳内変換し
目から照射するビームでエロ動画を映写してrftgyふじこl
288 :
名無しさん@九周年:2008/09/27(土) 22:41:28 ID:aoLyf3v00
>>254 俺の灰色の脳細胞をふりしぼって推測してみるに、
単に、JavaScriptオフで対応できないってところが新しいポイントなんじゃない?
知らない間に他サイト攻撃してしまうとか。
ユーザ側には割と別に平気な問題なんじゃないかと予想。
あ、JavaScriptオフで対応できないブラクラはやーね。
289 :
名無しさん@九周年:2008/09/27(土) 22:42:53 ID:vXRhYawFO
サーバと直接テレパシーでやりとりするんだ!
290 :
名無しさん@九周年:2008/09/27(土) 22:43:07 ID:8ETVqPHa0
アイパスをブラウザに覚えこませてるタイプの人は危険だな
292 :
名無しさん@九周年:2008/09/27(土) 22:44:47 ID:Qxgl5v+r0
Abone使ってるから問題ないよ
>>283 それは単純なCSRF攻撃
ハマチちゃんトラップやAmazonウィッシュリストの脆弱性と同じで
サイト側で防ぐべき問題
294 :
名無しさん@九周年:2008/09/27(土) 22:46:29 ID:vyr89Byd0
根本的な欠陥だと?ふざけるな。
インターネットの社長を連れてこい。
296 :
名無しさん@九周年:2008/09/27(土) 22:48:13 ID:zkcicmil0
>>293 「悪意あるサイト」にリクエストを送るのに、「サイト側で防ぐべき問題」って……?
297 :
名無しさん@九周年:2008/09/27(土) 22:48:22 ID:J+tgCMn00
298 :
名無しさん@九周年:2008/09/27(土) 22:48:34 ID:VxEKGmJY0
公明ブラウザの俺は関係ないな
299 :
名無しさん@九周年:2008/09/27(土) 22:49:53 ID:b9Rg4HpY0
300 :
名無しさん@九周年:2008/09/27(土) 22:50:31 ID:vyr89Byd0
>>297 え、そんな名前の会社マジであったのかw
変なこと書かなくてよかったわ。
301 :
名無しさん@九周年:2008/09/27(土) 22:55:02 ID:OFH/wuGbO
302 :
名無しさん@九周年:2008/09/27(土) 22:56:34 ID:vXRhYawFO
>299
自宅のPCとかに繋げてんのか
納得w
>>295 それだとAdobeとか関係ないから多分違う。
俺が検証したわけじゃないし詳細が出ていないから確認できないけど
スラドにはCSSで背景を透過にしたFlashを上かぶせすると言うような書き込みがあった。
基本的には同じようなものだけどさ。
最近は無駄にFlashを使うサイトが多いから良い警告になればいいな。
304 :
名無しさん@九周年:2008/09/27(土) 22:59:42 ID:3G2T2zIO0
またマイクロソフト社の陰謀ですね
XMLHttpRequest()でもつかうのか?
306 :
名無しさん@九周年:2008/09/27(土) 23:03:29 ID:BLnHr55m0
風俗に行ったら自分の意志とは無関係に選んじゃってて、ハッと我に返り、こんなデブいらんわ!
とか言ってたら、マトリックスのスミスよろしく、まわりを893に囲まれてて、もうオワタ\(^o^)/オテアゲ
状態になるってこと?
308 :
名無しさん@九周年:2008/09/27(土) 23:09:39 ID:RBPdJGdA0
lynxだけのけものか
山猫だけねむっちゃった
ジャイアンのやってた詐欺を思い出した
「この50円玉は表の模様が裏に、裏の模様が表についた珍しいものだ」つって
のび太に高額で売りつけようとする話
310 :
名無しさん@九周年:2008/09/27(土) 23:11:19 ID:zkcicmil0
>>306 に限らない。例えば「何らかの方法」で、
そのユーザーがそのページを開いている時にしか
得られない情報をgetのパラメータに含ませる事ができたら、
リクエスト先ではその情報を得る事なんかもできる。
311 :
名無しさん@九周年:2008/09/27(土) 23:11:51 ID:+TmQw5gy0
312 :
名無しさん@九周年:2008/09/27(土) 23:13:11 ID:saaXoL/F0
>>299 sshで毎日同じところにアクセスしてたら余計に怪しく思われないのだろうか?
313 :
名無しさん@九周年:2008/09/27(土) 23:14:11 ID:tE1Yemyn0
最近、アホかと思うほどフラッシュや画像をトップに置くサイトが増えてきた。
なんか各方面からの情報を総合するとほぼ全貌が見えちゃったな
とりあえずnoscript入れとくのが吉か
315 :
名無しさん@九周年:2008/09/27(土) 23:16:32 ID:xC463C880
lynx使って募金したらクラックと見なされて捕まったとかいう英国のニュースを思い出した
317 :
名無しさん@九周年:2008/09/27(土) 23:17:45 ID:gCbKDGfc0
318 :
名無しさん@九周年:2008/09/27(土) 23:18:38 ID:pvhYvB6ZO
全盲でLynx使いの俺が勝ちですか?
ジャストシステムの作っていたブラウザはマイナーすぎで誰も話題にしない名w
>>205 遅くなっちゃったけど、ありがとう。
とりあえず、2ちゃんねる以外には行かないでおくことにするよ…。
ふははは
Vimperator使いがクリック?
ご冗談を
っていうボケは通じないんでしょうか
323 :
名無しさん@九周年:2008/09/27(土) 23:28:14 ID:hUAkBIZm0
「ところがどっこいwin7では問題ありません、VISTAにも後に対応します、XP?何それ?」
なMS発表マダー?
ああ、webサイト作った時の参考書に
どのブラウザでも閲覧できるようにと
書いてあったからインストールしてチェックしてたな。
vista64bitと同時に使ったらシュールだろうなあ。
Ajaxコンテンツが窮地におっ立ったのか。
326 :
名無しさん@九周年:2008/09/27(土) 23:58:07 ID:UPRFdOW10
ぐーぐるアナリシスみたいなもん?
327 :
名無しさん@九周年:2008/09/28(日) 00:02:08 ID:icQEm5Fh0
X68のLynxで巡回してる俺は勝ち組という事か
332 :
名無しさん@九周年:2008/09/28(日) 02:17:54 ID:0fQPUHC1O
LynxOSを使ってる俺、最強だな
ブラウザーのマウス操作を完全に無効にすれば
完全に解決できる。
Security researchers warn of new 'clickjacking' browser bugs
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Spam%2C+Malware+and+Vulnerabilities&articleId=9115700&taxonomyId=85&pageNumber=1 "Think of any button on any Web site, internal or external, that you can get
to appear between the browser walls," Grossman said in an e-mail on Friday.
"Wire transfers on banks, Digg buttons, CPC advertising banners, Netflix queue, etc.
The list is virtually endless and these are relatively harmless examples.
Next, consider that an attack can invisibly hover these buttons below the users' mouse,
so that when they click on something they visually see, they actually are clicking
on something the attacker wants them to."
>>190 の説が一番近いかも。
ネットバンクや、内部のファイヤーオール設定ボタンも自在にクリックさせられるとしている。
対処法は、Firefox の NoScript アドオンのみだと。
noscriptはデフォルトではiframeを禁止してない
設定変更してiframeを禁止しないと防げない
そしてiframeを禁止してもobjectを禁止してないので結局防げない
またWtermの時代に戻ればいいじゃん
>Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。
Firefoxを2のままにしてたVineちゃんはただものではないな。
Ms-Dos
339 :
名無しさん@九周年:2008/09/28(日) 06:26:55 ID:Rt2Lctp5O
いつの間にかエロサイトにアクセスしてる謎が氷解した
そういうことか…
>>65 > ブラウザつかわないで、
> MSDOSの画面でコマンド打ち込んでインターネットってできるものなの。
できる。
最近はこの手のことをやってないから詳しい文法覚えてないが、
たとえばこのスレッドだったら
telnet mamono.2ch.net 80
GET /test/read.cgi/newsplus/1222506048/ HTTP/1.1 (改行x2)
とかやると、このスレッドのHTMLが落ちてくる。
>>300 > え、そんな名前の会社マジであったのかw
> 変なこと書かなくてよかったわ。
よくある厨房系コピペで「俺の親父はインターネットの幹部」ってのがあるけど、
ひょっとしたらその会社の幹部ってことにもなりかねんなw
342 :
名無しさん@九周年:2008/09/28(日) 06:36:26 ID:Qz35XQ0/0
モザイクユーザーのオレは完全に勝利。
>>215 > firefoxはCSSをoffにすることが容易だから、もしcss原因ならゼロデイ攻撃でもユーザーはゼロデイ対処できる。
Operaも確かそれができるんじゃなかったか。
Lynxのフルートはヨーロッパでも評判が良い
epiphany使ってるんだが・・・やばい?
346 :
名無しさん@九周年:2008/09/28(日) 09:53:22 ID:FyjALUJ20
カウボーイ願望の工学系キモヲタが、
(自分は理解したいと強く思ってるのに)理解することができない物を見たときに、
どういう反応をするのかが、よく分かるスレですね、ここは (^^)
347 :
名無しさん@九周年:2008/09/28(日) 10:18:47 ID:X3z1cUDc0
CSSで透明レイヤー?
どどど、どうやるの?実験してみたい!!
つかどの機能が困ったちゃんって分ったら
proxomitoron使えばよくない?
350 :
名無しさん@九周年:2008/09/28(日) 10:41:06 ID:X3z1cUDc0
351 :
名無しさん@九周年:2008/09/28(日) 10:42:13 ID:eaUUFiwO0
投票ランキング系でさ、最近ヘンなのがあるんだ
OUT(閲覧)よりIN(投票)が上回って第一位
それまでがせいぜい2桁だったのに、400とか500のINなんだよ
こういうのに、使われてたりする可能性アリ?
ここにきて携帯電話のヘボブラウザ最強
モザイクは?
w3m使いの俺もオワタの?
iframe?
356 :
名無しさん@九周年:2008/09/28(日) 12:09:10 ID:3qHC9zwa0
firefoxでcss切るってどうやるの
嫌なもん出てきたなぁ。
携帯なので、実害なさそうだが、安心できないか。
358 :
名無しさん@九周年:2008/09/28(日) 12:31:16 ID:PF5UNXHlO
何て事だ…OS2使ってる俺はどうしたらいい?
>>1 日本語でOk
フレームとかDHTMLとか基本的なHTMLの仕様にあるものを組み合わせたもんかね?
画像タグかな?
スクリプトとプラグイン止めたら、ほとんど見れないのと、同義な希ガス。
Justview が話題にも上らない件について
>>361 ATOKや一太郎、花子にシュリケンは、見たり、使った事があるが…Justview ってなぁに?
ジャストシステム謹製のブラウザ?
バカみたいなブラウザ使ってても自慢にはならんぞ
よく分からないんだがSlepinirは?
アウト
366 :
名無しさん@九周年:2008/09/28(日) 21:49:35 ID:0HkwOcOp0
>>362 なんでもいいから、先ず『謹製』の意味と用法を
辞書で調べてから書き込め。
367 :
名無しさん@九周年:2008/09/28(日) 21:51:29 ID:a/tL610EO
lynxって何よ? 携帯ゲーム機?
w3mも?
369 :
名無しさん@九周年:2008/09/28(日) 21:52:57 ID:ZU19Zp+b0
Amayaのことを忘れないでください・・・
> lynx
>>16 何これ?大昔に死滅したテキストブラウザってやつ?
371 :
名無しさん@九周年:2008/09/28(日) 21:53:53 ID:p0hKv9MB0
昔はLynx使ってたな
2ちゃんねる見るのにも結構都合が良かったんだが
随分懐かしい名前があったのできました。
373 :
名無しさん@九周年:2008/09/28(日) 21:55:38 ID:ytsuN9/L0
最強のウイルス来たwwwwwwwwwwwwwwwwwwwwwwww
いつの話だよ。俺は気が付いたときからすでにカチューシャがあったわ。
それでも閉鎖騒動まではオミトロンとMDIBrowserに自作スクリプロ入れて使ってたが。
375 :
名無しさん@九周年:2008/09/28(日) 21:58:06 ID:5W7GY7/q0
今でも、結構軽いから、コマンドラインでcronで動かす時に使っている例は多いな。
376 :
名無しさん@九周年:2008/09/28(日) 22:03:06 ID:w/NxDGDu0
「セキュリティ・ゼロ」使ってればセーフ
379 :
名無しさん@九周年:2008/09/28(日) 22:05:59 ID:Fm+5/YLm0
ヤヴェ。勝手に洋ロリ動画とかDLさせられちゃったりするのか!
380 :
やるぽ ◆Lck3x2OY72 :2008/09/28(日) 22:12:12 ID:H4qQy2s+0
どうでもいいことだが
「きじゃくせい」と打って「脆弱性(ぜいじゃくせいの誤り)」と出るATOKに怒りを覚えた
マジで間違える奴なんかいねえ・・・・・・はず
381 :
名無しさん@九周年:2008/09/28(日) 22:15:31 ID:jTd/YTSb0
2009では「ていぞう」も注意されるな
も…脆弱性
384 :
名無しさん@九周年:2008/09/28(日) 22:17:19 ID:2maCK5440
意味わかんねけどネットで見られたくない情報パソコンにいれなきゃいいんじゃね
XP、IE6で某大手ニュースサイト(○○24)のニュース動画見ようとしたら、
読み込み画面が動きがおかしくなり直後からノートン君とウィルスの激しい攻防が始まった。
ほかの作業が出来なくなるくらいの勢いで、ようやく隙を見てウィルスの情報見たら9/18くらいに見つかったばかりの危険度高のもの。
パッチを入れて再起動したら収まったけど、エロサイト見たわけでもないのにこういうアンチウイルスソフト入れてなかったり、
ブラウザ自体の脆弱性なんか意味が分からない一般人からしたら怖すぎ。
386 :
名無しさん@九周年:2008/09/28(日) 22:49:30 ID:Hrbr+7fI0
どおりで。
俺のPCにエロサイトが200件も登録されたわけがやっとわかった。
危なさそうなのは、
・危ないショップで勝手に購入ボタンが押される。
・スパイウェアへのリンクがあって、勝手にクリックされて、パソコンが乗っ取られる。
前者は、ログインしていなければ個人情報は取れないから、使い終わったらログアウトを心がける(というより、危ないショップへは行かない)で自衛できそう。
後者は、Firefoxは警告がでるけど、IEはどうなのよ?
インターネットはバーチャルマシン上でやれってことですね。
390 :
名無しさん@九周年:2008/09/28(日) 23:39:30 ID:o1gxQrHX0
Google Chromeなどが採用しているKHTMLはどうなのよ。
まあDHTMLがどうやら書いてあることから駄目だと思うけど。
とりあえずNoScriptでIFRAME禁止にした
392 :
33分探偵:2008/09/28(日) 23:42:51 ID:z1wxowf6O
てことは犯人は、
唯一影響を受けないブラウザを作った・・・
>>2 俺もw3mがメインなので、安全なのか知りたい。
394 :
名無しさん@九周年:2008/09/28(日) 23:43:12 ID:gxdBlojk0
今どきLynx使ってないやつなんているのかよ。
Google Chromeを使ってる俺は勝ち組
勝手にクリックさせるってつまりリクエストを出すってことでしょ
出来るに決まってるじゃん
自動ジャンプ機能がある時点で。
問題は利用規約の同意ページとかをこれで勝手に経由させて契約させるようなことかな?
なにいってんの?ばか?ばかなんだな?
クリックをさせるってのが脅威になる理由がよく分からない
サイト運営者が広告を自動クリックさせるとか?
ユーザーが気付かずにって書いてあるのはつまり描画領域0のフレームを作ってそこで表示させるとかか
CSS+FLASHで裏に置かれたリンクをクリックさせるなんてのが今頃問題になるのか。
でもクリックさせてその先に何を置けば攻撃になるのか?
単にリクエスト送るだけなら
>>398の方法でも出来る。
でもGoogleが広告システムに困るだけで一般ユーザにとって攻撃じゃないし。
あー、ダウンロードや実行の許可も含めて勝手にやってしまえるのか。
でもそれFlash動作させてる時点で出来るし。
クリックジャッキングで商品買わせられないだろ
情報打ち込みあるのに
401 :
名無しさん@九周年:2008/09/29(月) 00:40:00 ID:xH8+CPje0
2chしかしないおまえらには関係ない話題だなw
402 :
名無しさん@九周年:2008/09/29(月) 00:48:32 ID:+EwDWdX40
さっきからキジャクセイって・・・
ゼイジャクセイじゃないのかっ
403 :
名無しさん@九周年:2008/09/29(月) 00:51:05 ID:JpdHwDcR0
Lynxっていう携帯ゲーム機があったよね
404 :
名無しさん@九周年:2008/09/29(月) 00:52:51 ID:+EwDWdX40
カラーがウリだったね。
>>400 カートに入れる→いつもの住所を使う→確定
>>401 リンクをブラウザで開くくらいはするだろw
408 :
名無しさん@九周年:2008/09/29(月) 01:09:43 ID:6XJ5nm350
脆弱性
もろよわいぜ
409 :
名無しさん@九周年:2008/09/29(月) 01:15:18 ID:D5k2F10m0
OmniWebの俺は勝ち組
今まで気になってたが風博士でも入れてみるかな。
あれ
パッチいつでんのー。
フラッシュのゲームをやっていて、色んなところの敵をクリックしてると、
実は「透明にして被せられた」mixiやgoogle calendarなんかの自分のアカウント
の設定画面の「情報を公開にする」のチェックをクリックしていたりする。
銀行サイトなんかはログオン状態にしとくってことは無いだろうけど、ショッピング
サイトなんかは、透明に被せられたら、「自分のアカウントでいつの間にか
変なものを沢山買っていた」ことになる。
クリックで用事が済むようなモノは、全てコントロールされてしまう可能性が
あるっつーことで。
この攻撃での大問題は「怪しいサイトのボタンやリンクが押される危険」ではなく
「普通のサイトで自分のアカウントを使って勝手なボタンが押される危険」なので。
what you see is what you get
>しかしそこに危険はないとMichiel氏はこう反論した「普通のサイトなら大丈夫だろう」
417 :
名無しさん@九周年:2008/09/29(月) 14:25:36 ID:UgdSLTl60
ィ ‐―- 、__
,-‐ァ´/ ∠-―‐-、‐ 、 クリックジャッキング・・・?
〃 _,': /-―――-\ ヽ
〃  ̄ ̄\ 入{≧ 7: /::../:/: ,イ}ハ:\l これって、要するにリンクを操れるって事なのかしら。
| ヾヽーく<゙{:ナ./.::..,'::/厶!:. /l:: i:::}:!:バ―――― -- 、
| !l ¨ヽYl:::::::l:ハ{八X_ , l:;!ィリ:: } }´ ヽ そんなの、ポップアップやら表示した
. l l }=l:::::::l:{ ャtr-ュミ jノtrァルリ! ∠彡 /
l l ノ人fl:::::::l `ー' 、`' {´イ::| / ./ 途端に別のURLに移動したりやら、
l k≠^ヽ|:::::::l _ , 八i ::|'/ /
l ヘ\::ハ :::ハ. '´‐,‐' イ::::l|::l / 極めてごく普通に遭遇するトラップ
ヽ {ハ、::ヽ::::i> , 、.. _/:/:: / リ ./
ヽ |ヘ:::jヽ::! fヘ ヽ::::/{::./ / ページじゃないの。
丶 !| |lV j/|>‐<ヘ ヽ{ハ:{ /
|~\ i | |l |ニ二ニ! || ! / ニコ動で別の動画に飛ばされる釣り動画みたいなものね。
| | ヽ ./ | |l | l. || ! >'´
ヽ_| ヘメ | |l | l. || !/ 例えば、ある動作を了承するはいorいいえのダイアログの
_ ____l l ll | / /イ
. 〃〃 l \\ l{{T}// / 存在意義を無くせるなら、大変な問題だけど。
クリックさせたいページを自由に踏ませることでSEO的にどうにかなっていくとかそういうこともあるんだろうかね?
420 :
名無しさん@九周年:2008/09/29(月) 14:40:28 ID:UgdSLTl60
/:::/:::ヽ-、
/:::::::::::::::::::::::::} ̄`ー、.,_ ,, ・・・・・・。
. /::::::::::::::::::::::::::::/::::::::::::::ヘ,\く
/:::/:::::::::::::::::::::::/::::::::::::::::::::ト、 i:::ヽ、 ニュースサイトにリンクしてあった概念実証
. i:::/:::::::::::::::::;:::::/::::::::::::::::::::::i:::i .|:::ヽ:i
|:::i:::::::::::::::::/:::::i:::::::::::::::::::::;;ィ、:レ:::::::::ii| コード、すなわちクリックジャッキングの例
. |::|:::::::::;::::/:::::i:|::::::::::::::::::<ィif.i::|:::/::::} |
i:|i:::::::::i:/:::::/リ:::::::::::::::::::/i.|Y::|:/::::/ のソースを見たけど、こんなのただのタグ
i|ヤ ト::i::::::/:::::::::::::::、,ィ<./.|_|::|'.i/
. 〉ト}:}::::/'"'’`ー".,..,ィーァ,、::| じゃない。
,.イ ノハリ \ .,ィー/ .ソ / i ト,i
/ ,,.ィ,.ニ=´ヽ, {_,__.,.,.ィ´ これのためにnoPluginとか、大袈裟過ぎるわ。
. / // \-ーキ
ZD Net Japan↓
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381029,00.htm?ref=rss 研究者が示したクリックジャッキングの例↓
http://www.breakingpointsystems.com/community/blog/clickjacking
我が家に今ピザの配達がきた
L10枚
やられたあああ
422 :
名無しさん@九周年:2008/09/29(月) 14:42:42 ID:7P9vZwno0
これって、カーソルをリンク先に乗せたときに左下などに表示されるURLを見て、
クリックするか否かを判断することで回避できないものかね?
とはいえ、フラッシュなどで表示されないサイトも多い訳だけど。
|l、{ j} /,,ィ//| / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
i|:!ヾ、_ノ/ u {:}//ヘ | あ…ありのまま 今 起こった事を話すぜ!
|リ u' } ,ノ _,!V,ハ | < 『おれは○○のリンクをクリックしたと
fト、_{ル{,ィ'eラ , タ人. | 思ったらいつのまにかエロサイトに飛ばされた』
ヾ|宀| {´,)⌒`/ |<ヽトiゝ | 催眠術だとか超スピードだとか
ヽ iLレ u' | | ヾlトハ〉. | そんなチャチなもんじゃあ 断じてねえ
ハ !ニ⊇ '/:} V:::::ヽ. │ もっと恐ろしいものの片鱗を味わったぜ…
/:::丶'T'' /u' __ /:::::::/`ヽ \____________________
仮想PCとかいう次元の話じゃないんだ?汗
>>421分けてよ(*´∀`)
425 :
名無しさん@九周年:2008/09/29(月) 14:51:18 ID:UgdSLTl60
/\
'"  ̄ ̄ {  ̄ ̄`丶、
カチャカチャ・・・ //: : : : : : : j: : : : : : : : : : : :\
__________ /' 7: : : : : / : : ∧: l: : : : \: :\-=ヘ_
三三三三三三三三三ミ∧ /: : : /: /: : :/: ハ:ヽ : : : : l: : : ∨:7(_厂\
>>423、おめでとう、罠リンクよ。
|lll|. /: :/ /.: :|: :⌒:/ ヽ {\⌒:| : : : ∨ │ 〉
|lll| /: ;イ:│.:.:.| :/∨ ヾ \j: : :ヽ:ハ. |l / みなさい。
|lll| W│ |.: : :!fて汽 イう汽ス: : : l: | |:∨
|lll| V:! : :ハ! V:rリ {ト:::rリ ヘ : | :ト、ノ! :! htmlのソースを表示してみなさい。
|lll| ヘl :.:{小. ゞ'' , ''ヾ' ^∨N : ,'.:│
__, |lll| ∧ : j:人xx rっ xxxヘー/: : :/: : | っていうか、普通にエロいサイト
l│ |lll| |: ∨:|: : :`ーr-zr ァ<. //: : :/: : : |
l│ |lll| |: : : :|\:_;斗' >‐く 〃: : : :/l : : : | 巡りとかしてれば経験するわよね。
l│ |lll| |: : : :l /-―|o/ O∧o/: : : : :∧|.: : :│
l│ |lll| |: : : :|' { `| | 7: : : : :/ │: : :.| 巨乳美女の画像にマウスを乗せると
l│ |lll| |: : : :| V ̄| | O | /: : : / !: : : :|
l│ |lll| ヽ: : :| {____,| | |,' : / │: : :.| ガチホモページへ飛ばされたりとか。
>>104 先輩を狙っていたら、いつの間にか幼なじみとできていたのかお前は・・・
427 :
名無しさん@九周年:2008/09/29(月) 14:54:38 ID:UgdSLTl60
みなさい・・・。
まあ、これはアレよ(ry
>>421、C.C.がいれば良かったんでしょうけど、
確か最萌トーナメントではアレだったわ、多分。
__
, ´,r== 、ヽ
!くl人ノ从)ト、カタ…
Wリ ゚д゚ノiノ カタタタ…
_ /つ/ ̄ ̄ ̄/_
.\/ ./
ん〜、たとえばスタイルシートでもページ内の任意の場所にリンクとかボタンを持ってこれるんだよね。
それを使うのかな〜。
あるいは、最近、広告が拡大するフラッシュなんかあるけど、
見えない広告が拡大する感じなのかな。
もしそうだとしたら、対策たてるのが難しそうだね。ページ内のリンクやボタンの範囲が
「表示されるべき領域」以外に表示されているかチェックしないといけない・・・。
正規のサイトでも、スタイルシートを使って任意の場所にオブジェクト移動したりしているから、
もしこの対策がうまくいったら、正規のサイトでもきちんと表示されないってことが起こるかも...。
ただ、「表示されるべき領域」以外に表示されているかのチェックはウィルス対策ソフトでもできるかもね。
動作がめちゃくちゃ重くなりそうだけど・・・。
430 :
名無しさん@九周年:2008/09/29(月) 15:02:45 ID:UU8IJMdI0
きじゃくせい(←なぜか変換できない)
どうやんの?
これって、
>>414の言うように登録制サイトで悪用する以外、特に被害はなくね?
偽名登録がデフォのねらーの方々なら問題ないな。
やったとしても、ランキングサイトのリンク踏んですぐ戻る、とかそんな感じでしょ。
クリック広告とかでやったらすぐにアカ停止だし。
432 :
名無しさん@九周年:2008/09/29(月) 15:06:37 ID:ih2+dTx+0
なんで「きじゃく」と読むんだか…
>>430 コピペして再変換
iモードなんて初期には<img src="tel:110">なんてタグ埋め込んだページ開くと
確認もなしに勝手に110通報するセキュリティホールがあったんだぞwww
434 :
名無しさん@九周年:2008/09/29(月) 15:10:49 ID:rixugRjh0
>>432 ふいんき(←何故か変換できない)を壊す人って言われない?
435 :
名無しさん@九周年:2008/09/29(月) 15:12:35 ID:UgdSLTl60
/ ヽ , -‐…- ヽ / >、 ______
/ / , ' " ̄ ヽ\二}ニニ!´ ol丶、 特に何の変哲も無いリンクタグね。
. / , // / ヽ ヽ ヽヽ ニ'ャ- 、]` ' ¨ ̄ ~¨└ 、ヘ
/ l |' /,' 、 ヽ | ,Xヽ ! | , , ,' 、 `くヘ SOS団のホームページからみくる
/ ii ! / ! ハ ハ!',z=| /.リ ,' l ! \ \ヘ
,' ,' ,' l !/! | / / / ″ ,|ハ ! / / | ! | ヽ 、 ヽ ヽ ちゃんの画像満載のページに飛ぶ
|│ | ! l | ,ト ー/- レ' イ | | /|/ ,ムイ ! ! } | | !
|││ ! / ! ヽ\八/,z≠ _,! レハl ̄ レヽ ム、 | l l リ | クリックジャッキングを配置しようしら!
| | ! |く ム>、 ヽ ヽ ″ 、_ r'´`|\| r==z ヽ!''く. / !│ ! l
| | | |l //l| |ヽ へ _ __ .... ヽ.」 ! .:::::::::.. r=z ∨ ハ/レ' ,' ねー、みくるちゃん。
レヘ、| |// ! !ヾ`ー ... , >-、 ヽ、 │ | , - 、.. .:::::::. /}/ /! /
ヽ! /Vハ ! | // \|___.! L ) ノ | | /
レ' リ V|〃/| //.\ ` ー' , '、 ヽ レ' ひぁあああ〜!
│/ ! /// > , ー<¨ 丶 ! !
|ハ ヽ. rr、 | /イ !ヽ / | | ヽ
>>433、画像を表示するタグで電話が
| | /l// /r、 r| | ト、ヽ|__r‐-、 ノレリ \
│ | 〈│!│| l !ヽ\ ` }−¨ ヽ ヽ 掛かるのは恐ろしいわね。
| ヽ ヽ! | l ヽ --L`ニ- 、____ / , ' ! ヽヽ
ヽ/ ゝ \ \ ,' | / / / i ハ | ダイヤルQ2で儲け放題じゃない。
>>431 Amazonなんかだと、カートに入れるとこまではいくがその後の「注文する」時に
再度パスワード要求されて、何とかセーフかな。カートの中身くらい注文前にチェック
するだろうし。
あと、説明ではなんか「本体のセキュリティ設定まで云々」ってのをどっかで読んだが
まさか、なんでそんなことが可能なのか、って感じだわ。
ただ、WebベースでGUI設定するようなソフトなら、ありうるのかね。パスワード入力
して放置、なんてことはあまり無いだろうし、普通は一定時間で期限切れるだろうが・・。
437 :
名無しさん@九周年:2008/09/29(月) 15:14:50 ID:duzd1wcUO
クリックジャンクス知ってる知ってる。
ハリポタに出てきた猫の名前だよな。
従兄の娘に教えてもらった。
438 :
名無しさん@九周年:2008/09/29(月) 15:18:11 ID:UgdSLTl60
─==フ¨´  ̄| ``'ー- 、
/, / ,ィ'| ヽ ヽ、
// / / /〃 | | | ヽ ヾYニヽ、
>>436、それもクラッカーがAmazonのサーバーに
/,イ / / 〃/, |│!、 ',. ヽ |:.:.:ヘ:.:.\
/ / ,' / 孑|'" l !| \ } ∨:.:.:.:.:',:.:./ アクセスできる前提の話じゃないの。
/ i ,'' / j l || ヽ |`i }:.:.:.:.:.:.∨
| / |/{!7メミ、 | _ _土 l| | |:.:.:.:.:.:.:.| そんなんだったら、もっと致命的な攻撃方法が五万
| / | lム {:::::::} 'fて::;;;}7} ト、|:.:.:.:.:. 丿
|/ | │il ヒ辷 {::::::::ソ | | | ̄ ̄ | とあるわよ。
|ヽ∧} ' , ` ー'′ | /) ,' |
| | | ` 、 r‐┐ |/ノ / | Amazonのページがいつのまにか楽天へ飛ばされる
| | l |>.、`___ .. -‐'ア /l |
r‐‐'"¨¨V | | | | / \/ / | | ようになってるとか、注文単位を100倍にして異常な
≧= Y | │ /-< 〃 / | |
と´r─' _,イヽ、 ,レ'|::::::∧ / イ | | 取引を行わせるとか。
`ー┬´ | / 厂::| ∨ / │ │ |
| 丿 / /:::::::| / / | | │ まあ、後者はクリックジャック有りの方が面白いけど。
あぁワンピースの北米版のシャンクスのことだろ?
440 :
名無しさん@九周年:2008/09/29(月) 15:20:17 ID:iyyi+MKvO
で、せっかく影響のデカサからアナウンスを控えてたのに
解決策なしのまま公表する意味は何?
441 :
名無しさん@九周年:2008/09/29(月) 15:20:46 ID:Gwlr1L5XO
ネットスケープ使いのおいらは大丈夫でつか?
443 :
名無しさん@九周年:2008/09/29(月) 15:29:35 ID:eljypiJY0
Lynxってアタリのゲーム機だっけ?
テキストブラウザ以外全滅ってことで?
>>438 被害者がログインしたままにしてると、「そのページを透明にして上のレイヤーに表示」させられる。
クラッカーがAmazonにアクセス出来るのではなく、形の上では被害者がアクセスし、その時の
マウスのクリック意図をクラッカーが乗っ取るという形になる。だから「クリックジャッキング」。
あくまでも、被害者がAmazonにログオンし、被害者がクリック操作をしてボタンを押してしまう。
クラッカーは、被害者が「自分がログインしたAmazonのページで操作している」と知らないままに
特定の「場所」をクリックさせるような「仕掛け」を提供するだけ。
amazonにアクセスして「こんにちは、○○さん」と自分の名前が出てきている人は、ログインした
ままになってるので、そういう仕掛けで要らぬものをカートに放り込まれる可能性はある。
446 :
名無しさん@九周年:2008/09/29(月) 16:32:47 ID:0Ef92hBs0
洩れのw3mは?('A`)
operaで解決
言いたいことを
>>2に言われてしまった
そういえばもしかしてw3mのローカルCGIでp2使えたりする?
悪意のあるWebサイトなら何でもできるんじゃね?
452 :
スレ立ててる記者は全員剥奪スレへ:2008/09/29(月) 20:45:28 ID:IdUzdt3h0
arachneは?
対象スレ:【話題】Lynxを除くほぼ全てのブラウザが影響を受ける脅威の攻撃「クリックジャッキング」
キーワード:w3c
抽出レス数:0
454 :
スレ立ててる記者は全員剥奪スレへ:2008/09/29(月) 20:53:05 ID:XNuvbpNw0
ぶっちゃけネットだけなら古いパソコンに何も入れないでやって、
必要あるときだけ外部のメインパソコンを使うのが一番・・
と思いつつ新パソもネット用パソコンも買わずにはや二年。
わしはいつまで学生なんじゃ・・・
意外とw3m人気で安心した
なんでline mode無視したん?
gnome-terminalとxfce4-terminalでw3m-imgが動作しない
言及してるブログも少ないしあんまり需要無いのか…
>>420 変態新聞糾弾のスレで、オタセンス丸出しのAAつき煽りコピペばら撒いてるのはお前かw
いつもいつも、オタ趣味がない人間から見るとセンスがズレてるぞ。
462 :
名無しさん@九周年:2008/09/30(火) 08:46:10 ID:75jCsBU30
最近、寒くなってきたわねえ。
>>445、ログイン操作はクリックを掌握するだけじゃできないわよ。
ブラウザ上のサブミットボタンは、上でレスしたコードである程度押せるけど。
Amazonのような会員制の所はパスワードやIDが必要だし、
そうでない所は住所や電話番号を入力しないとならないじゃないの。
__
, ´,r== 、ヽ
!くl人ノ从)ト、カタ…
Wリ ゚ワ ゚ノiノ カタタタ…
_ /つ/ ̄ ̄ ̄/_
.\/ ./
>>462 >>445ではないが、
>>445は、既にログインしている(最後の操作からログアウトしていない)ことを前提にしているように読めるが。
>Amazonのような会員制の所はパスワードやIDが必要だし
要らないでしょう。
例えば、今
ttp://www.amazon.co.jp/gp/product/4167110075/ のリンクをクリックしたときに、一番上に「こんにちは、(個人名)さん」と書いてあれば、
キーボードからは何も入力せずとも既に「ログインしている状態」。
カートのボタンは、すでに「あなた個人のカート」のボタン。
最低でも、IDでログインするタイプのサイトは、途中で他のことをせずに用事は速やかに
終わらせ、用事が済んだらきちんとログアウトしておこう。まあこんなスレ覗いてる人には
常識なんだろうが。
amazonトラップはamazonドメインのページを踏んだだけで住所流出だった気がする
パスワードもIDもブラウザが勝手に入力するとこういうまずいことが起きるけど
出先でPCを使ってる自分は手の動きでパスワード丸見えなので
省略してくれた方がむしろありがたかったりする
466 :
名無しさん@九周年:2008/09/30(火) 14:15:23 ID:AjD3W1Na0
/ ヽ , -‐…- ヽ / >、 ______
/ / , ' " ̄ ヽ\二}ニニ!´ ol丶、
>>646、なぜ探偵ガリレオなのか気になる
. / , // / ヽ ヽ ヽヽ ニ'ャ- 、]` ' ¨ ̄ ~¨└ 、ヘ
/ l |' /,' 、 ヽ | ,Xヽ ! | , , ,' 、 `くヘ 所だけどそれはいいわ。
/ ii ! / ! ハ ハ!',z=| /.リ ,' l ! \ \ヘ
,' ,' ,' l !/! | / / / ″ ,|ハ ! / / | ! | ヽ 、 ヽ ヽ 前に入手が難しい古本を買った事があるから
|│ | ! l | ,ト ー/- レ' イ | | /|/ ,ムイ ! ! } | | !
|││ ! / ! ヽ\八/,z≠ _,! レハl ̄ レヽ ム、 | l l リ | アクセスしてみたけど、これって会員でも普通に
| | ! |く ム>、 ヽ ヽ ″ 、_ r'´`|\| r==z ヽ!''く. / !│ ! l
| | | |l //l| |ヽ へ _ __ .... ヽ.」 ! .:::::::::.. r=z ∨ ハ/レ' ,' アクセスしただけではログインできないようね。
レヘ、| |// ! !ヾ`ー ... , >-、 ヽ、 │ | , - 、.. .:::::::. /}/ /! /
ヽ! /Vハ ! | // \|___.! L ) ノ | | /
レ' リ V|〃/| //.\ ` ー' , '、 ヽ レ' ひゃはっ!す、涼宮さぁああ〜ん!
│/ ! /// > , ー<¨ 丶 ! !
|ハ ヽ. rr、 | /イ !ヽ / | | ヽ yahooやexciteとか同じで、あくまでユーザーが
| | /l// /r、 r| | ト、ヽ|__r‐-、 ノレリ \
│ | 〈│!│| l !ヽ\ ` }−¨ ヽ ヽ 一度手動でログインした状態にないと駄目なのよ。
| ヽ ヽ! | l ヽ --L`ニ- 、____ / , ' ! ヽヽ
467 :
名無しさん@九周年:2008/09/30(火) 14:19:26 ID:AjD3W1Na0
_ ─` l 、 `r< ̄:::/
/ , 〉. 、 \__j:::::::\_|_
∠ -─ フ´ l ./|ヽ_ヘ\__\ 、\:::::::::::::::::\ したがって、セキュリティ上の問題性は
r'/ / || ! ヘl \_`ヽ \ヽ、::::::::::::/
〉 / -7l.! l ヽ \ ヽ ヽ、ヽ:::::::::人 さほど大きいとは言えないわ。
.' ,' ! i l __,rz ヽ} ヽl `::/ \
l /:l | | _,,z ==" rへヘー!´ヽ, ‐, \ IDはクッキーで自動入力される所も
K__| ヽ ハ彡" _ __,イ` rヘ / /. \
l /入!、! く 冫 / ! ! l i' /っ、 \ 多いでしょうけど、パスワードは
. ∨/ / .>、 _____ /l´ヽ、j/ f { `l ヽ \
. ,' / / ! | /:::;j_ /:::::::/ A そ_,ヘ \. \ たいてい手入力だもの。
l / / | イ:::::|´ `!:::::::/ //::ヽ/ ハ、_ \ \
|/ , |,ハ:ヽ::::| ,'::::::/ //:;;//'/ノ l \. \ シマンテックの更新を
/ , !ヘ〉、ヽ:! .,':/// /. \// / ヽ \ \
/ ,' ノ///}_ヘ!.!/´// ,' _ `l、/ } \ \ してない方がまだ
,' , /k ' ' トV/'// l i、`ヽ、 / \ \ \
. ! l イヽ、ヽ、△ヽイ/! ! \  ̄ ̄ しも問題性が高いわよ。
468 :
名無しさん@九周年:2008/09/30(火) 14:21:58 ID:C9+P060I0
Lynxってなんぞ?
w3mもアウト?
WebBoyも危険なのか?
>>467 >IDはクッキーで自動入力される所も
>多いでしょうけど、パスワードは
>たいてい手入力だもの。
は?
>>472 稀にあるよ、そういうサイト。クッキー見てIDを送ってくるというのが。
>>466の書き方を見ると、詳しくなさそうだから、勘弁してあげて。
474 :
名無しさん@九周年:2008/09/30(火) 16:41:42 ID:A2Ir6I+W0
{:::::::: | /::::::::::::∨ /: : : : : : /: : : : :/:.:| !: : : : : : : : \:::ヽl
ヽ::::: |.!:::::::::::: /: :{: : : : : //: : : : ,イ: :/ |:ト、 : : : i: : : : ヽ::::〉
\|l::::::::::::/: :,イ: : : : ィ7ー-、 / |: / |:.! ,X: : :}: : : : : :.V
/l、::::: / / |: : : :/ イ: : / !/ l:.|´ ∨ |: : :i、.: : !
. l: :l ̄ |/r‐、l: : :.//|/ |/__ ,ィ.: :|: : :|ヽ: : :!
l : :!: : :.:.{ ヽ.|:.:.:/ヤ乍牙气 斤ァ/ハ:|: : :l \|
>>472-473、稀に?
. | : :!: : :.! ト、_.l/ {:辷.ソ 辷/{: :∧!: :/
. | : :l: : :.l≦ミヽ ヽ ,,¨ ̄ ,. }/:.:!:.∨| クッキーでのID入力が稀に?
l : : ! : / \\\ .____(^ーァ____,. イヽ:.!: :.:.:|
| : : l:.:,' ,.ヘ_と}_}_}_]≧、 `ヽー┴‐-、:| 例えば2chのハンドルネームも(ry
| : : l:.| '"´ ヽヽヽヽ- 、 }!
| : : l:.{ {:.:{:.:{:.{ 〉 {--―ァ
|: : :.l:.|ヽ、 }:.:}.:.}.:}ィノ____〉<´
|: : :.:/ /\_______,. -‐一'¨´i ̄¨´:.i:.:.:.:.:.:.:.:.:.:.:.:.:.:.ヽ
|: : / /:.:.:./:.:.:./:.∧:.:./:.:.:.:,イ:.:.:.:.:.:.:.}:.:.:.丶:.:\.:.:.:.:.:.:.\
|: :.{ {:.:.:/:.:.:./:.:(__):!:.:.::./ |:.:.:.:.:.: ∧:.:.:.:.:.ヽ:.:.ヽー----ゝ
|: :.l/ !:.:.!:.:.:.:!:.:.:.:.:.:.、l:.:.:/ .!:.:.:.:. / ヽ/:.: i:.:.:.:ヽ
|:.:/ .|:.:.!:.:.:.l:.:.:.:.:.:../「:メ、__,|:.:.:.:/ 、_/ ヽ:.:.:.|:.:.:.:.:.i はいはい、exciteもその他のページも
l:/ |:.:.! :.:.!:.:.:.:.:/ |/_ |:.:./ ____ ∨:|:.:.:.:.:.|
|{ |:.:.!:.:/!:.:.:./|≡≡≡ .!./ ≡≡=.ト、ト、:.:.:.:| みんなクッキーで自動入力ですよ。
|: >、___|:.:从_|:.:./: | ’|:.:.|:∧:. |
|/ /|:/:.:.:!|:/:.:.:.! xxx __ xx ノ:.:.l/ ∨ パスワードはともかく。
殿様Lynx
このAA馬鹿が大好きそーなニコニコ動画なんかは
どう見てもパスワード手入力じゃないけどな。
ほかにgoogleも自動、amazonも自動、yahooも自動、
素人相手だといちいち手入力しないといけないようなログインシステムは逆に煩雑だと叩かれるから
まぁ詳しくないことはさておき身近な例も思いつかない池沼なんだろう
サイトによって色々あるでいいじゃん。
めんどくさ。
478 :
名無しさん@九周年:2008/09/30(火) 17:55:53 ID:A2Ir6I+W0
\_ー、 _f ヽ, ‐───- 、
_ ─` l 、 `r< ̄:::/
/ , 〉. 、 \__j:::::::\_|_
∠ -─ フ´ l ./|ヽ_ヘ\__\ 、\:::::::::::::::::\
>>476、amazonは自動じゃなかったと思うわよ。
r'/ / || ! ヘl \_`ヽ \ヽ、::::::::::::/
〉 / -7l.! l ヽ \ ヽ ヽ、ヽ:::::::::人
>>436もそう言ってるわ。
.' ,' ! i l __,rz ヽ} ヽl `::/ \
l /:l | | _,,z ==" rへヘー!´ヽ, ‐, \ ニコ動は基本無料なんだもの、それでいいじゃない。
K__| ヽ ハ彡" _ __,イ` rヘ / /. \
l /入!、! く 冫 / ! ! l i' /っ、 \ つまり、料金が発生したり契約を交わしたり
. ∨/ / .>、 _____ /l´ヽ、j/ f { `l ヽ \
. ,' / / ! | /:::;j_ /:::::::/ A そ_,ヘ \. \ するようなセッションは、大抵パスを
l / / | イ:::::|´ `!:::::::/ //::ヽ/ ハ、_ \ \
|/ , |,ハ:ヽ::::| ,'::::::/ //:;;//'/ノ l \. \ クッキーで入力しない所が多いのよ。
/ , !ヘ〉、ヽ:! .,':/// /. \// / ヽ \ \
/ ,' ノ///}_ヘ!.!/´// ,' _ `l、/ } \ \ お分かりかしら。
,' , /k ' ' トV/'// l i、`ヽ、 / \ \ \
479 :
名無しさん@九周年:2008/09/30(火) 18:03:30 ID:A2Ir6I+W0
/ : : ; : : /_..-───- ._: :\
. / : ; : :/: : /´ ______\: ヽ
/: : _/: :/: : 厶 '´: : : : : : : : : : : : : :`ヽ: ヘ それから
>>473は、クッキーによるID入力が稀だと
/:/ ,.'7: : :/: : : :|: : : : : : : : : : : : : : : : ヘ: ',
/' , '/ i: : : :|: : : ∧ : : : : : : : : |: : : |: : : : i: | 言ってるんだけど。
. ハ厶i. |: : : :|: :.|:.l ',: : | : : : : : |: : : レ': : :|: |
|:.7 /トr|: : : :?A」_| \|\ : : : | x'´ハ: : : ;' ハ 話がずれてるわ。
|:.' /: | r{ : : : |: ∧「`ヽ、.___,.\: イ__V_,|: :rf:/| |
|:| |: :.| | |: : : :N 'Tに叮 ヾ hィ}r〈 { 'j.ト'| 大体、クッキーでパスも入れるような商用サイトは
|:ヽ: :.| |、|: : : :| ゞ-‐’  ̄´l | | l': :!
l: : : └ : ヘ: : :|、 ' ノ } リ : | あんまり無いって事よ。
∨: : : : : :|ヘ: :.l \ r─ャ _. '´ l: ,l: |
,.、ヘ\ : : | ト: l ` ._ ,r´ イ、 j/ 悪意あるクライアント内プログラムや、席を離れた隙に
,〈 ', ', ヽ: } | ヽ / 「| ィ ´|||',
/ ',. ', ', V | ム -‐ ´ } ||| | 滅茶苦茶にされたらアレじゃない。
で、ぷにる派の俺はどうなるの
481 :
名無しさん@九周年:2008/09/30(火) 18:07:43 ID:TaKnyX5R0
>>116 中国人が編み出したgoggleは有名だったなw
482 :
名無しさん@九周年:2008/09/30(火) 18:18:00 ID:G2/m+5lb0
ハルヒのエロ同人が読みたくなった。
俺の脳が ID:A2Ir6I+W0にクリックジャックされている。
>>480 あれは標準だとIEのコンポーネントを使ってる
つまりアウト
484 :
名無しさん@九周年:2008/09/30(火) 18:34:27 ID:8PSzk3Zk0
>>480 Tridnet or Gecko
いわゆるIEとFirefox(有名どころでいく場合@SleipnirのGeckoのバージョンは古いらしい)
485 :
名無しさん@九周年:2008/09/30(火) 18:36:36 ID:8PSzk3Zk0
×Tridnet
○Trident
どちらにしてもアウト
487 :
名無しさん@九周年:2008/09/30(火) 18:49:44 ID:Y7gikX9X0
tube8には仕掛けねぇでくれよw
488 :
名無しさん@九周年:2008/09/30(火) 18:55:52 ID:lPq0IvJnO
ようつべは何故firefoxを勧めてくるの?
IE危険なの(._.)?
>>477 そゆこと。判明した以上、今後はユーザも毎回ログアウトするなどの工夫は必要になるだろうけど、
特に個人情報共有のサイトなんかの公開/非公開設定の変更なんかはパスワードの再入力なんかの
ワンクッション置く工夫をしてほしい感じだ罠。実際myspaceの設定変更は簡単に出来てしまった。
mixiやPicasaの公開設定、Googleカレンダー共有なんかは確かめてないが。
漏れがよく使う買い物サイトは、ワンクリック注文可能でもパスワード入力のワンクッションが
要る感じだったが、他のサイトはどうなのかはわからんし。
490 :
名無しさん@九周年:2008/09/30(火) 21:46:48 ID:8PSzk3Zk0
>>488 FirefoxはIEと比べればセキュリティ対策が早いし、IEはHTML標準のチェックにクリアしていない(IE8で初めてクリア)ため、Firefoxに移行する人が増え始めた。
それが影響してFirefox専用のサイトが増えてきているんだよな。
ウェブ制作者の立場から言えばIEはバグだらけですごく鬱陶しい存在だし。
491 :
名無しさん@九周年:2008/10/01(水) 02:09:31 ID:oWZ7Z+9r0
>>205 その前提条件ならこんな回りくどい方法を使わずもっと直接的に攻撃できるんじゃないか?
俺もニュースサイトの情報からは
>>190あたりだと感じたが、
これだと攻撃の第一段階が成功した後の無数にある選択肢が
また一つ増えた程度のイメージでしかないなあ。
それにIEはレンダリングも遅いし、UIも使いにくいからな。
取り柄が今のところ過去の遺物であるActiveX()笑wだけ。
TraceMonkeyには期待してる。
493 :
名無しさん@九周年:2008/10/01(水) 09:33:25 ID:L9TkeRYsO
>>490 そうなんだ。
一昔前はIE以外はバグ出るみたいなかんじだったよねぇ
494 :
名無しさん@九周年:2008/10/01(水) 23:22:11 ID:fTswzNRT0
w3m使い多いな
いいことだ
>>493 IEもネスケもぱくったmozaic由来のバグ満載だった。
ネスケはfirefoxになる過程でそれらとおさらば済みという歴史。
IEは独自機能と一緒に独自バグを作り込むという歴史。
496 :
名無しさん@九周年:2008/10/01(水) 23:59:38 ID:dcscaK4n0
lynxは便利だ
>>493 IEはHTMLの許容度が高すぎて、文法的におかしいHTMLもそれっぽく表示できた。
IEより正確に解釈する他のブラウザではバグありのHTMLを、製作者の意図通りに描画できなかった。
結局はまともなHTMLも書けないコーダーが悪い
IEは3はマトモだったんだよな。まぁ買って来ただけだったからなんだけど。
4以降はofficeとの連携と、インターフェースとしてのFrontpageの煮詰めの甘さで
W3Cもへったくれもないブラウザになってしまった。Windows Meもとばっちりで
デスクトップリソース確保との都合でクソOSになってもーたし。
499 :
名無しさん@九周年:2008/10/02(木) 09:20:17 ID:O+c+jHkl0
どのくらい大変なことなのかよくわからないんだが、結局ターゲットとなるサイトを何らかの方法で改竄することが前提なんだよな?
ようするに、ブラウザの脆弱性ってよりはサイトの脆弱性の問題なんでしょ?
ちがうのかな。
たとえばさ、yahoo のトップページで検索ボタンを押したらおれのサイトの掲示板に書き込みが行われるように仕掛けるには、
結局 yahoo のトップページを改竄する方法がわからなけりゃいけないんだよな?
>>1 Linuxだから安全
Windows wwwwwwwwwwww
501 :
名無しさん@九周年:2008/10/02(木) 13:40:13 ID:ViGHQE77O
502 :
名無しさん@九周年:2008/10/02(木) 13:47:22 ID:bj+gqMyP0
昨日火狐がUPdateしたんだけど、こいつに対処したのか。
Atari Lynx始まったな
>>499 yahoo のトップページを改竄できる奴なら、直接お前のページを改竄するだろうよ。
今回の件で、危ないのは、お前のページじゃなく、お前のパソコン。
危険なサイトでやられる可能性があるということ。
yahooを使っていないときは、yahooからログアウトすることを心がけろ。
それと、ログインするときは、yahooのページであることを確認する。
変なサイトを同時に見ないようにする。