08/09/27 22:32:20 B+c5Dg730
なるほど。meta の http-equiv="refresh" や img の src や frame とかの url を記述するタグで、
悪意あるサイトの url に get メソッドで引数つけて渡せばいいのか。
284:名無しさん@九周年
08/09/27 22:35:35 fbawgv/CO
>>276
目に頼るでない!穴のあいた紙カードを指で読め
285:名無しさん@九周年
08/09/27 22:40:27 UpdbZ/At0
今はゴルフメーカーでもブラウザ作ってるんだ・・・
恐るべしIT
286:名無しさん@九周年
08/09/27 22:40:28 iMTzVMrh0
>>276
おれはLANケーブルを伝わってくる波動を脳内変換し
目から照射するビームでエロ動画を映写してrftgyふじこl
287:名無しさん@九周年
08/09/27 22:41:04 OSitlB/40
>>285
公明党ですら昔ブラウザを…
288:名無しさん@九周年
08/09/27 22:41:28 aoLyf3v00
>>254
俺の灰色の脳細胞をふりしぼって推測してみるに、
単に、JavaScriptオフで対応できないってところが新しいポイントなんじゃない?
知らない間に他サイト攻撃してしまうとか。
ユーザ側には割と別に平気な問題なんじゃないかと予想。
あ、JavaScriptオフで対応できないブラクラはやーね。
289:名無しさん@九周年
08/09/27 22:42:53 vXRhYawFO
サーバと直接テレパシーでやりとりするんだ!
290:名無しさん@九周年
08/09/27 22:43:07 8ETVqPHa0
ついにATARI LYNXの時代が到来したか
URLリンク(bb.watch.impress.co.jp)
291:名無しさん@九周年
08/09/27 22:43:58 3eudbm8D0
アイパスをブラウザに覚えこませてるタイプの人は危険だな
292:名無しさん@九周年
08/09/27 22:44:47 Qxgl5v+r0
Abone使ってるから問題ないよ
293:名無しさん@九周年
08/09/27 22:45:42 zfFtBs/X0
>>283
それは単純なCSRF攻撃
ハマチちゃんトラップやAmazonウィッシュリストの脆弱性と同じで
サイト側で防ぐべき問題
294:名無しさん@九周年
08/09/27 22:46:29 vyr89Byd0
根本的な欠陥だと?ふざけるな。
インターネットの社長を連れてこい。
295:名無しさん@九周年
08/09/27 22:47:28 Ipd85fpD0
URLリンク(www10.plala.or.jp)
こーゆーこと?
296:名無しさん@九周年
08/09/27 22:48:13 zkcicmil0
>>293
「悪意あるサイト」にリクエストを送るのに、「サイト側で防ぐべき問題」って……?
297:名無しさん@九周年
08/09/27 22:48:22 J+tgCMn00
>>294
URLリンク(www.ssw.co.jp)
298:名無しさん@九周年
08/09/27 22:48:34 VxEKGmJY0
公明ブラウザの俺は関係ないな
299:名無しさん@九周年
08/09/27 22:49:53 b9Rg4HpY0
>>281
つssh
300:名無しさん@九周年
08/09/27 22:50:31 vyr89Byd0
>>297
え、そんな名前の会社マジであったのかw
変なこと書かなくてよかったわ。
301:名無しさん@九周年
08/09/27 22:55:02 OFH/wuGbO
>>294
ポテチが喉に引っかかったではないか
302:名無しさん@九周年
08/09/27 22:56:34 vXRhYawFO
>299
自宅のPCとかに繋げてんのか
納得w
303:名無しさん@九周年
08/09/27 22:57:36 uw+jurTU0
>>295
それだとAdobeとか関係ないから多分違う。
俺が検証したわけじゃないし詳細が出ていないから確認できないけど
スラドにはCSSで背景を透過にしたFlashを上かぶせすると言うような書き込みがあった。
基本的には同じようなものだけどさ。
最近は無駄にFlashを使うサイトが多いから良い警告になればいいな。
304:名無しさん@九周年
08/09/27 22:59:42 3G2T2zIO0
またマイクロソフト社の陰謀ですね
305:名無しさん@九周年
08/09/27 23:00:40 TwHGdebG0
XMLHttpRequest()でもつかうのか?
306:名無しさん@九周年
08/09/27 23:03:29 BLnHr55m0
>>283
それってwebビーコンの事だよね。
307:名無しさん@九周年
08/09/27 23:08:18 JruJ8JzMO
風俗に行ったら自分の意志とは無関係に選んじゃってて、ハッと我に返り、こんなデブいらんわ!
とか言ってたら、マトリックスのスミスよろしく、まわりを893に囲まれてて、もうオワタ\(^o^)/オテアゲ
状態になるってこと?
308:名無しさん@九周年
08/09/27 23:09:39 RBPdJGdA0
lynxだけのけものか
山猫だけねむっちゃった
309:名無しさん@九周年
08/09/27 23:10:21 ALxNwKumO
ジャイアンのやってた詐欺を思い出した
「この50円玉は表の模様が裏に、裏の模様が表についた珍しいものだ」つって
のび太に高額で売りつけようとする話
310:名無しさん@九周年
08/09/27 23:11:19 zkcicmil0
>>306
に限らない。例えば「何らかの方法」で、
そのユーザーがそのページを開いている時にしか
得られない情報をgetのパラメータに含ませる事ができたら、
リクエスト先ではその情報を得る事なんかもできる。
311:名無しさん@九周年
08/09/27 23:11:51 +TmQw5gy0
四の五の言わずにこうすりゃいいんだよ。
URLリンク(ranobe.com)
312:名無しさん@九周年
08/09/27 23:13:11 saaXoL/F0
>>299
sshで毎日同じところにアクセスしてたら余計に怪しく思われないのだろうか?
313:名無しさん@九周年
08/09/27 23:14:11 tE1Yemyn0
最近、アホかと思うほどフラッシュや画像をトップに置くサイトが増えてきた。
314:名無しさん@九周年
08/09/27 23:15:20 Zkpw9BgE0
なんか各方面からの情報を総合するとほぼ全貌が見えちゃったな
とりあえずnoscript入れとくのが吉か
315:名無しさん@九周年
08/09/27 23:16:32 xC463C880
>>313
すぐさまSkipを探すな
316:名無しさん@九周年
08/09/27 23:17:44 lh8aSLLl0
lynx使って募金したらクラックと見なされて捕まったとかいう英国のニュースを思い出した
317:名無しさん@九周年
08/09/27 23:17:45 gCbKDGfc0
>>311
ふざけんなボケ
ブラクラはるな死ね
318:名無しさん@九周年
08/09/27 23:18:38 pvhYvB6ZO
全盲でLynx使いの俺が勝ちですか?
319:名無しさん@九周年
08/09/27 23:18:56 heu+hhLy0
ジャストシステムの作っていたブラウザはマイナーすぎで誰も話題にしない名w
320:名無しさん@九周年
08/09/27 23:20:53 cJ3otDff0
>>311
wikiかお?
321:名無しさん@九周年
08/09/27 23:26:32 JWQ91cpeO
>>205
遅くなっちゃったけど、ありがとう。
とりあえず、2ちゃんねる以外には行かないでおくことにするよ…。
322:名無しさん@九周年
08/09/27 23:27:21 6ZL6nQha0
ふははは
Vimperator使いがクリック?
ご冗談を
っていうボケは通じないんでしょうか
323:名無しさん@九周年
08/09/27 23:28:14 hUAkBIZm0
「ところがどっこいwin7では問題ありません、VISTAにも後に対応します、XP?何それ?」
なMS発表マダー?
324:名無しさん@九周年
08/09/27 23:29:17 xKXHH1Ga0
ああ、webサイト作った時の参考書に
どのブラウザでも閲覧できるようにと
書いてあったからインストールしてチェックしてたな。
vista64bitと同時に使ったらシュールだろうなあ。
325:名無しさん@九周年
08/09/27 23:53:09 ssTFVYMq0
Ajaxコンテンツが窮地におっ立ったのか。
326:名無しさん@九周年
08/09/27 23:58:07 UPRFdOW10
ぐーぐるアナリシスみたいなもん?
327:名無しさん@九周年
08/09/28 00:02:08 icQEm5Fh0
>>276
ポケモンショック懐かしい
328:名無しさん@九周年
08/09/28 00:04:10 mYLh0m2i0
>>9
何かあったのか?
329:名無しさん@九周年
08/09/28 00:28:49 GR3BdUiY0
>>233
同感
330:名無しさん@九周年
08/09/28 00:41:04 ryECQl5E0
X68のLynxで巡回してる俺は勝ち組という事か
331:名無しさん@九周年
08/09/28 01:19:48 vAnW8Mh7P
いまだにネスケ4.7とOpenJaneだからfile:///c:/con/con/con位しか驚いたことはない。↓にも反応せず。
【IT】 HDDをフォーマットしちゃうWebサイトが登場。ご注意を!★6
スレリンク(newsplus板)
>>330 古いPCでインターネットしてみるスレ スレリンク(i4004板)
332:名無しさん@九周年
08/09/28 02:17:54 0fQPUHC1O
LynxOSを使ってる俺、最強だな
333:名無しさん@九周年
08/09/28 02:26:44 kf1/Y6U20
ブラウザーのマウス操作を完全に無効にすれば
完全に解決できる。
334:名無しさん@九周年
08/09/28 02:28:02 0Vz6lZ230
Security researchers warn of new 'clickjacking' browser bugs
URLリンク(www.computerworld.com)
"Think of any button on any Web site, internal or external, that you can get
to appear between the browser walls," Grossman said in an e-mail on Friday.
"Wire transfers on banks, Digg buttons, CPC advertising banners, Netflix queue, etc.
The list is virtually endless and these are relatively harmless examples.
Next, consider that an attack can invisibly hover these buttons below the users' mouse,
so that when they click on something they visually see, they actually are clicking
on something the attacker wants them to."
>>190
の説が一番近いかも。
ネットバンクや、内部のファイヤーオール設定ボタンも自在にクリックさせられるとしている。
対処法は、Firefox の NoScript アドオンのみだと。
335:名無しさん@九周年
08/09/28 02:38:07 ZQSJG0A80
noscriptはデフォルトではiframeを禁止してない
設定変更してiframeを禁止しないと防げない
そしてiframeを禁止してもobjectを禁止してないので結局防げない
336:名無しさん@九周年
08/09/28 03:21:41 M8+5StH90
またWtermの時代に戻ればいいじゃん
337:名無しさん@九周年
08/09/28 04:19:20 M35caVTZ0
>Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。
Firefoxを2のままにしてたVineちゃんはただものではないな。
338:名無しさん@九周年
08/09/28 04:59:21 mVCasmSd0
Ms-Dos
339:名無しさん@九周年
08/09/28 06:26:55 Rt2Lctp5O
いつの間にかエロサイトにアクセスしてる謎が氷解した
そういうことか…
340:名無しさん@九周年
08/09/28 06:31:28 v/FP9HZM0
>>65
> ブラウザつかわないで、
> MSDOSの画面でコマンド打ち込んでインターネットってできるものなの。
できる。
最近はこの手のことをやってないから詳しい文法覚えてないが、
たとえばこのスレッドだったら
telnet mamono.2ch.net 80
GET /test/read.cgi/newsplus/1222506048/ HTTP/1.1 (改行x2)
とかやると、このスレッドのHTMLが落ちてくる。
341:名無しさん@九周年
08/09/28 06:35:33 v/FP9HZM0
>>300
> え、そんな名前の会社マジであったのかw
> 変なこと書かなくてよかったわ。
よくある厨房系コピペで「俺の親父はインターネットの幹部」ってのがあるけど、
ひょっとしたらその会社の幹部ってことにもなりかねんなw
342:名無しさん@九周年
08/09/28 06:36:26 Qz35XQ0/0
モザイクユーザーのオレは完全に勝利。
343:名無しさん@九周年
08/09/28 06:39:54 v/FP9HZM0
>>215
> firefoxはCSSをoffにすることが容易だから、もしcss原因ならゼロデイ攻撃でもユーザーはゼロデイ対処できる。
Operaも確かそれができるんじゃなかったか。
344:名無しさん@九周年
08/09/28 07:03:37 KRWsbbt00
Lynxのフルートはヨーロッパでも評判が良い
345:名無しさん@九周年
08/09/28 07:21:38 WsVxubOO0
epiphany使ってるんだが・・・やばい?
346:名無しさん@九周年
08/09/28 09:53:22 FyjALUJ20
カウボーイ願望の工学系キモヲタが、
(自分は理解したいと強く思ってるのに)理解することができない物を見たときに、
どういう反応をするのかが、よく分かるスレですね、ここは (^^)
347:名無しさん@九周年
08/09/28 10:18:47 X3z1cUDc0
>>343
> >>215
> > firefoxはCSSをoffにすることが容易だから、もしcss原因ならゼロデイ攻撃でもユーザーはゼロデイ対処できる。
> Operaも確かそれができるんじゃなかったか。
スタイルオプションのことかね。
URLリンク(ranobe.com)
348:名無しさん@九周年
08/09/28 10:36:29 AMOwHCEe0
CSSで透明レイヤー?
どどど、どうやるの?実験してみたい!!
349:名無しさん@九周年
08/09/28 10:38:13 AMOwHCEe0
つかどの機能が困ったちゃんって分ったら
proxomitoron使えばよくない?
350:名無しさん@九周年
08/09/28 10:41:06 X3z1cUDc0
>>349
その通りだね。そりゃ使ってるけどな。
351:名無しさん@九周年
08/09/28 10:42:13 eaUUFiwO0
投票ランキング系でさ、最近ヘンなのがあるんだ
OUT(閲覧)よりIN(投票)が上回って第一位
それまでがせいぜい2桁だったのに、400とか500のINなんだよ
こういうのに、使われてたりする可能性アリ?
352:名無しさん@九周年
08/09/28 10:48:07 z3T22t9IO
ここにきて携帯電話のヘボブラウザ最強
353:名無しさん@九周年
08/09/28 11:12:48 Ok55rNLe0
モザイクは?
354:名無しさん@九周年
08/09/28 11:15:12 +QCZD9Aa0
w3m使いの俺もオワタの?
355:名無しさん@九周年
08/09/28 12:03:05 I/uE4ehn0
iframe?
356:名無しさん@九周年
08/09/28 12:09:10 3qHC9zwa0
firefoxでcss切るってどうやるの
357: ◆vbintatuxo
08/09/28 12:30:31 eGrWRM/HO
嫌なもん出てきたなぁ。
携帯なので、実害なさそうだが、安心できないか。
358:名無しさん@九周年
08/09/28 12:31:16 PF5UNXHlO
何て事だ…OS2使ってる俺はどうしたらいい?
359:名無しさん@九周年
08/09/28 12:33:53 q6YkO9Ul0
>>1
日本語でOk
フレームとかDHTMLとか基本的なHTMLの仕様にあるものを組み合わせたもんかね?
画像タグかな?
360: ◆vbintatuxo
08/09/28 12:36:27 eGrWRM/HO
スクリプトとプラグイン止めたら、ほとんど見れないのと、同義な希ガス。
361:名無しさん@九周年
08/09/28 12:37:05 ozQJKFAA0
Justview が話題にも上らない件について
362: ◆vbintatuxo
08/09/28 12:40:11 eGrWRM/HO
>>361
ATOKや一太郎、花子にシュリケンは、見たり、使った事があるが…Justview ってなぁに?
ジャストシステム謹製のブラウザ?
363:名無しさん@九周年
08/09/28 12:53:51 I+rxLEWE0
バカみたいなブラウザ使ってても自慢にはならんぞ
364:名無しさん@九周年
08/09/28 16:02:03 n2WowduN0
よく分からないんだがSlepinirは?
365:名無しさん@九周年
08/09/28 16:30:45 RiEY3T7S0
アウト
366:名無しさん@九周年
08/09/28 21:49:35 0HkwOcOp0
>>362
なんでもいいから、先ず『謹製』の意味と用法を
辞書で調べてから書き込め。
367:名無しさん@九周年
08/09/28 21:51:29 a/tL610EO
lynxって何よ? 携帯ゲーム機?
368:名無しさん@九周年
08/09/28 21:52:01 VubXZwTe0
w3mも?
369:名無しさん@九周年
08/09/28 21:52:57 ZU19Zp+b0
Amayaのことを忘れないでください・・・
370:名無しさん@九周年
08/09/28 21:53:00 bAPjXvAE0
> lynx
>>16
何これ?大昔に死滅したテキストブラウザってやつ?
371:名無しさん@九周年
08/09/28 21:53:53 p0hKv9MB0
昔はLynx使ってたな
2ちゃんねる見るのにも結構都合が良かったんだが
372:名無しさん@九周年
08/09/28 21:55:21 wA9hTcjA0
随分懐かしい名前があったのできました。
373:名無しさん@九周年
08/09/28 21:55:38 ytsuN9/L0
最強のウイルス来たwwwwwwwwwwwwwwwwwwwwwwww
374:名無しさん@九周年
08/09/28 21:57:37 bAPjXvAE0
いつの話だよ。俺は気が付いたときからすでにカチューシャがあったわ。
それでも閉鎖騒動まではオミトロンとMDIBrowserに自作スクリプロ入れて使ってたが。
375:名無しさん@九周年
08/09/28 21:58:06 5W7GY7/q0
今でも、結構軽いから、コマンドラインでcronで動かす時に使っている例は多いな。
376:名無しさん@九周年
08/09/28 22:03:06 w/NxDGDu0
>>1
もっと技術的解説キボンヌ
377:名無しさん@九周年
08/09/28 22:03:33 o+kjIk9N0
>>2
真っ先にそれが来るかw
378:名無しさん@九周年
08/09/28 22:04:20 XmrWki2h0
「セキュリティ・ゼロ」使ってればセーフ
379:名無しさん@九周年
08/09/28 22:05:59 Fm+5/YLm0
ヤヴェ。勝手に洋ロリ動画とかDLさせられちゃったりするのか!
380:やるぽ ◆Lck3x2OY72
08/09/28 22:12:12 H4qQy2s+0
どうでもいいことだが
「きじゃくせい」と打って「脆弱性(ぜいじゃくせいの誤り)」と出るATOKに怒りを覚えた
マジで間違える奴なんかいねえ・・・・・・はず
381:名無しさん@九周年
08/09/28 22:15:31 jTd/YTSb0
2009では「ていぞう」も注意されるな
382:名無しさん@九周年
08/09/28 22:16:17 w/NxDGDu0
>>1
DHTMLか
383:名無しさん@九周年
08/09/28 22:16:25 fKWQEuVmO
も…脆弱性
384:名無しさん@九周年
08/09/28 22:17:19 2maCK5440
意味わかんねけどネットで見られたくない情報パソコンにいれなきゃいいんじゃね
385:名無しさん@九周年
08/09/28 22:47:38 7aPdeZHdO
XP、IE6で某大手ニュースサイト(○○24)のニュース動画見ようとしたら、
読み込み画面が動きがおかしくなり直後からノートン君とウィルスの激しい攻防が始まった。
ほかの作業が出来なくなるくらいの勢いで、ようやく隙を見てウィルスの情報見たら9/18くらいに見つかったばかりの危険度高のもの。
パッチを入れて再起動したら収まったけど、エロサイト見たわけでもないのにこういうアンチウイルスソフト入れてなかったり、
ブラウザ自体の脆弱性なんか意味が分からない一般人からしたら怖すぎ。
386:名無しさん@九周年
08/09/28 22:49:30 Hrbr+7fI0
どおりで。
俺のPCにエロサイトが200件も登録されたわけがやっとわかった。
387:名無しさん@九周年
08/09/28 23:11:43 3yBqaXes0
>>385が面白すぎて吹く
388:名無しさん@九周年
08/09/28 23:32:14 VhTBVsXx0
危なさそうなのは、
・危ないショップで勝手に購入ボタンが押される。
・スパイウェアへのリンクがあって、勝手にクリックされて、パソコンが乗っ取られる。
前者は、ログインしていなければ個人情報は取れないから、使い終わったらログアウトを心がける(というより、危ないショップへは行かない)で自衛できそう。
後者は、Firefoxは警告がでるけど、IEはどうなのよ?
389:名無しさん@九周年
08/09/28 23:33:48 Av658BBA0
インターネットはバーチャルマシン上でやれってことですね。
390:名無しさん@九周年
08/09/28 23:39:30 o1gxQrHX0
Google Chromeなどが採用しているKHTMLはどうなのよ。
まあDHTMLがどうやら書いてあることから駄目だと思うけど。
391:名無しさん@九周年
08/09/28 23:39:47 3yBqaXes0
とりあえずNoScriptでIFRAME禁止にした
392:33分探偵
08/09/28 23:42:51 z1wxowf6O
てことは犯人は、
唯一影響を受けないブラウザを作った・・・
393:名無しさん@九周年
08/09/28 23:42:57 a4wJ4Nkf0
>>2
俺もw3mがメインなので、安全なのか知りたい。
394:名無しさん@九周年
08/09/28 23:43:12 gxdBlojk0
今どきLynx使ってないやつなんているのかよ。
395:名無しさん@九周年
08/09/28 23:53:31 W8AqYKWJO
Google Chromeを使ってる俺は勝ち組
396:名無しさん@九周年
08/09/29 00:07:50 5J2HLFhM0
勝手にクリックさせるってつまりリクエストを出すってことでしょ
出来るに決まってるじゃん
自動ジャンプ機能がある時点で。
問題は利用規約の同意ページとかをこれで勝手に経由させて契約させるようなことかな?
397:名無しさん@九周年
08/09/29 00:10:14 K3uxOzWi0
なにいってんの?ばか?ばかなんだな?
398:名無しさん@九周年
08/09/29 00:13:25 5J2HLFhM0
クリックをさせるってのが脅威になる理由がよく分からない
サイト運営者が広告を自動クリックさせるとか?
ユーザーが気付かずにって書いてあるのはつまり描画領域0のフレームを作ってそこで表示させるとかか
399:名無しさん@九周年
08/09/29 00:26:36 5J2HLFhM0
CSS+FLASHで裏に置かれたリンクをクリックさせるなんてのが今頃問題になるのか。
でもクリックさせてその先に何を置けば攻撃になるのか?
単にリクエスト送るだけなら>>398の方法でも出来る。
でもGoogleが広告システムに困るだけで一般ユーザにとって攻撃じゃないし。
あー、ダウンロードや実行の許可も含めて勝手にやってしまえるのか。
でもそれFlash動作させてる時点で出来るし。
400:名無しさん@九周年
08/09/29 00:37:17 z8fAJ9px0
クリックジャッキングで商品買わせられないだろ
情報打ち込みあるのに
401:名無しさん@九周年
08/09/29 00:40:00 xH8+CPje0
2chしかしないおまえらには関係ない話題だなw
402:名無しさん@九周年
08/09/29 00:48:32 +EwDWdX40
さっきからキジャクセイって・・・
ゼイジャクセイじゃないのかっ
403:名無しさん@九周年
08/09/29 00:51:05 JpdHwDcR0
Lynxっていう携帯ゲーム機があったよね
404:名無しさん@九周年
08/09/29 00:52:51 +EwDWdX40
カラーがウリだったね。
405:名無しさん@九周年
08/09/29 00:53:31 G3XU4X7a0
>>5
イエローホールw
406:名無しさん@九周年
08/09/29 00:54:33 5J2HLFhM0
>>400
カートに入れる→いつもの住所を使う→確定
407:名無しさん@九周年
08/09/29 00:59:39 ALFrrQ+r0
>>401
リンクをブラウザで開くくらいはするだろw
408:名無しさん@九周年
08/09/29 01:09:43 6XJ5nm350
脆弱性
もろよわいぜ
409:名無しさん@九周年
08/09/29 01:15:18 D5k2F10m0
OmniWebの俺は勝ち組
410:名無しさん@九周年
08/09/29 01:44:02 rqycSw/L0
今まで気になってたが風博士でも入れてみるかな。
411:名無しさん@九周年
08/09/29 03:17:06 2mkaF2r00
あれ
412:名無しさん@九周年
08/09/29 08:27:37 nNbywQOX0
パッチいつでんのー。
413:名無しさん@九周年
08/09/29 11:29:04 zyysKl4U0
フラッシュのゲームをやっていて、色んなところの敵をクリックしてると、
実は「透明にして被せられた」mixiやgoogle calendarなんかの自分のアカウント
の設定画面の「情報を公開にする」のチェックをクリックしていたりする。
銀行サイトなんかはログオン状態にしとくってことは無いだろうけど、ショッピング
サイトなんかは、透明に被せられたら、「自分のアカウントでいつの間にか
変なものを沢山買っていた」ことになる。
クリックで用事が済むようなモノは、全てコントロールされてしまう可能性が
あるっつーことで。
414:名無しさん@九周年
08/09/29 11:34:17 zyysKl4U0
この攻撃での大問題は「怪しいサイトのボタンやリンクが押される危険」ではなく
「普通のサイトで自分のアカウントを使って勝手なボタンが押される危険」なので。
415:名無しさん@九周年
08/09/29 12:51:55 S39CoHyb0
what you see is what you get
416:名無しさん@九周年
08/09/29 13:24:49 z8fAJ9px0
>しかしそこに危険はないとMichiel氏はこう反論した「普通のサイトなら大丈夫だろう」
417:名無しさん@九周年
08/09/29 14:25:36 UgdSLTl60
ィ ‐―- 、__
,-‐ァ´/ ∠-―‐-、‐ 、 クリックジャッキング・・・?
〃 _,': /-――-\ ヽ
〃  ̄ ̄\ 入{≧ 7: /::../:/: ,イ}ハ:\l これって、要するにリンクを操れるって事なのかしら。
| ヾヽーく<゙{:ナ./.::..,'::/厶!:. /l:: i:::}:!:バ―― -- 、
| !l ¨ヽYl:::::::l:ハ{八X_ , l:;!ィリ:: } }´ ヽ そんなの、ポップアップやら表示した
. l l }=l:::::::l:{ ャtr-ュミ jノtrァルリ! ∠彡 /
l l ノ人fl:::::::l `ー' 、`' {´イ::| / ./ 途端に別のURLに移動したりやら、
l k≠^ヽ|:::::::l _ , 八i ::|'/ /
l ヘ\::ハ :::ハ. '´‐,‐' イ::::l|::l / 極めてごく普通に遭遇するトラップ
ヽ {ハ、::ヽ::::i> , 、.. _/:/:: / リ ./
ヽ |ヘ:::jヽ::! fヘ ヽ::::/{::./ / ページじゃないの。
丶 !| |lV j/|>‐<ヘ ヽ{ハ:{ /
|~\ i | |l |ニ二ニ! || ! / ニコ動で別の動画に飛ばされる釣り動画みたいなものね。
| | ヽ ./ | |l | l. || ! >'´
ヽ_| ヘメ | |l | l. || !/ 例えば、ある動作を了承するはいorいいえのダイアログの
_ ____l l ll | / /イ
. 〃〃 l \\ l{{T}// / 存在意義を無くせるなら、大変な問題だけど。
418:バーチャル2ちゃんねら裕子 2ch運営
08/09/29 14:27:15 zYNYR+3n0
絵のうまい漏れが どこにいるか当ててみろお!
URLリンク(www.id.yamagata-u.ac.jp)
419:名無しさん@九周年
08/09/29 14:31:20 YIT8byHt0
クリックさせたいページを自由に踏ませることでSEO的にどうにかなっていくとかそういうこともあるんだろうかね?
420:名無しさん@九周年
08/09/29 14:40:28 UgdSLTl60
/:::/:::ヽ-、
/:::::::::::::::::::::::::} ̄`ー、.,_ ,, ・・・・・・。
. /::::::::::::::::::::::::::::/::::::::::::::ヘ,\く
/:::/:::::::::::::::::::::::/::::::::::::::::::::ト、 i:::ヽ、 ニュースサイトにリンクしてあった概念実証
. i:::/:::::::::::::::::;:::::/::::::::::::::::::::::i:::i .|:::ヽ:i
|:::i:::::::::::::::::/:::::i:::::::::::::::::::::;;ィ、:レ:::::::::ii| コード、すなわちクリックジャッキングの例
. |::|:::::::::;::::/:::::i:|::::::::::::::::::<ィif.i::|:::/::::} |
i:|i:::::::::i:/:::::/リ:::::::::::::::::::/i.|Y::|:/::::/ のソースを見たけど、こんなのただのタグ
i|ヤ ト::i::::::/:::::::::::::::、,ィ<./.|_|::|'.i/
. 〉ト}:}::::/'"'’`ー".,..,ィーァ,、::| じゃない。
,.イ ノハリ \ .,ィー/ .ソ / i ト,i
/ ,,.ィ,.ニ=´ヽ, {_,__.,.,.ィ´ これのためにnoPluginとか、大袈裟過ぎるわ。
. / // \-ーキ
ZD Net Japan↓
URLリンク(japan.zdnet.com)
研究者が示したクリックジャッキングの例↓
URLリンク(www.breakingpointsystems.com)
421:名無しさん@九周年
08/09/29 14:42:16 Azieks/P0
我が家に今ピザの配達がきた
L10枚
やられたあああ
422:名無しさん@九周年
08/09/29 14:42:42 7P9vZwno0
これって、カーソルをリンク先に乗せたときに左下などに表示されるURLを見て、
クリックするか否かを判断することで回避できないものかね?
とはいえ、フラッシュなどで表示されないサイトも多い訳だけど。
423:名無しさん@九周年
08/09/29 14:46:39 gEVGcdx80
|l、{ j} /,,ィ//| / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
i|:!ヾ、_ノ/ u {:}//ヘ | あ…ありのまま 今 起こった事を話すぜ!
|リ u' } ,ノ _,!V,ハ | < 『おれは○○のリンクをクリックしたと
fト、_{ル{,ィ'eラ , タ人. | 思ったらいつのまにかエロサイトに飛ばされた』
ヾ|宀| {´,)⌒`/ |<ヽトiゝ | 催眠術だとか超スピードだとか
ヽ iLレ u' | | ヾlトハ〉. | そんなチャチなもんじゃあ 断じてねえ
ハ !ニ⊇ '/:} V:::::ヽ. │ もっと恐ろしいものの片鱗を味わったぜ…
/:::丶'T'' /u' __ /:::::::/`ヽ \____________________
424:名無しさん@九周年
08/09/29 14:48:54 oOXBkecaO
仮想PCとかいう次元の話じゃないんだ?汗
>>421分けてよ(*´∀`)
425:名無しさん@九周年
08/09/29 14:51:18 UgdSLTl60
/\
'"  ̄ ̄ {  ̄ ̄`丶、
カチャカチャ・・・ //: : : : : : : j: : : : : : : : : : : :\
__________ /' 7: : : : : / : : ∧: l: : : : \: :\-=ヘ_
三三三三三三三三三ミ∧ /: : : /: /: : :/: ハ:ヽ : : : : l: : : ∨:7(_厂\ >>423、おめでとう、罠リンクよ。
|lll|. /: :/ /.: :|: :⌒:/ ヽ {\⌒:| : : : ∨ │ 〉
|lll| /: ;イ:│.:.:.| :/∨ ヾ \j: : :ヽ:ハ. |l / みなさい。
|lll| Ⅳ│ |.: : :!fて汽 イう汽ス: : : l: | |:∨
|lll| V:! : :ハ! V:rリ {ト:::rリ ヘ : | :ト、ノ! :! htmlのソースを表示してみなさい。
|lll| ヘl :.:{小. ゞ'' , ''ヾ' ^∨N : ,'.:│
__, |lll| ∧ : j:人xx rっ xxxヘー/: : :/: : | っていうか、普通にエロいサイト
l│ |lll| |: ∨:|: : :`ーr-zr ァ<. //: : :/: : : |
l│ |lll| |: : : :|\:_;斗' >‐く 〃: : : :/l : : : | 巡りとかしてれば経験するわよね。
l│ |lll| |: : : :l /-―|o/ O∧o/: : : : :∧|.: : :│
l│ |lll| |: : : :|' { `| | 7: : : : :/ │: : :.| 巨乳美女の画像にマウスを乗せると
l│ |lll| |: : : :| V ̄| | O | /: : : / !: : : :|
l│ |lll| ヽ: : :| {____,| | |,' : / │: : :.| ガチホモページへ飛ばされたりとか。
426:名無しさん@九周年
08/09/29 14:53:32 EjjAniyl0
>>104
先輩を狙っていたら、いつの間にか幼なじみとできていたのかお前は・・・
427:名無しさん@九周年
08/09/29 14:54:38 UgdSLTl60
みなさい・・・。
まあ、これはアレよ(ry
>>421、C.C.がいれば良かったんでしょうけど、
確か最萌トーナメントではアレだったわ、多分。
__
, ´,r== 、ヽ
!くl人ノ从)ト、カタ…
Wリ ゚д゚ノiノ カタタタ…
_ /つ/ ̄ ̄ ̄/_
.\/ ./
428:名無しさん@九周年
08/09/29 14:55:38 gEVGcdx80
ん~、たとえばスタイルシートでもページ内の任意の場所にリンクとかボタンを持ってこれるんだよね。
それを使うのかな~。
あるいは、最近、広告が拡大するフラッシュなんかあるけど、
見えない広告が拡大する感じなのかな。
もしそうだとしたら、対策たてるのが難しそうだね。ページ内のリンクやボタンの範囲が
「表示されるべき領域」以外に表示されているかチェックしないといけない・・・。
正規のサイトでも、スタイルシートを使って任意の場所にオブジェクト移動したりしているから、
もしこの対策がうまくいったら、正規のサイトでもきちんと表示されないってことが起こるかも...。
ただ、「表示されるべき領域」以外に表示されているかのチェックはウィルス対策ソフトでもできるかもね。
動作がめちゃくちゃ重くなりそうだけど・・・。
429:名無しさん@九周年
08/09/29 15:01:26 zyysKl4U0
こういうこと(うっすらと見えるのは本当は透明だが、クリックはそのまま反映される)
URLリンク(wktk.vip2ch.com)
430:名無しさん@九周年
08/09/29 15:02:45 UU8IJMdI0
きじゃくせい(←なぜか変換できない)
どうやんの?
431:名無しさん@九周年
08/09/29 15:05:36 rhk88LqG0
これって、>>414の言うように登録制サイトで悪用する以外、特に被害はなくね?
偽名登録がデフォのねらーの方々なら問題ないな。
やったとしても、ランキングサイトのリンク踏んですぐ戻る、とかそんな感じでしょ。
クリック広告とかでやったらすぐにアカ停止だし。
432:名無しさん@九周年
08/09/29 15:06:37 ih2+dTx+0
なんで「きじゃく」と読むんだか…
>>430
コピペして再変換
433:名無しさん@九周年
08/09/29 15:07:01 ovGxYAh60
iモードなんて初期には<img src="tel:110">なんてタグ埋め込んだページ開くと
確認もなしに勝手に110通報するセキュリティホールがあったんだぞwww
434:名無しさん@九周年
08/09/29 15:10:49 rixugRjh0
>>432
ふいんき(←何故か変換できない)を壊す人って言われない?
435:名無しさん@九周年
08/09/29 15:12:35 UgdSLTl60
/ ヽ , -‐…- ヽ / >、 ______
/ / , ' " ̄ ヽ\二}ニニ!´ ol丶、 特に何の変哲も無いリンクタグね。
. / , // / ヽ ヽ ヽヽ ニ'ャ- 、]` ' ¨ ̄ ~¨└ 、ヘ
/ l |' /,' 、 ヽ | ,Xヽ ! | , , ,' 、 `くヘ SOS団のホームページからみくる
/ ii ! / ! ハ ハ!',z=| /.リ ,' l ! \ \ヘ
,' ,' ,' l !/! | / / / ″ ,|ハ ! / / | ! | ヽ 、 ヽ ヽ ちゃんの画像満載のページに飛ぶ
|│ | ! l | ,ト ー/- レ' イ | | /|/ ,ムイ ! ! } | | !
|││ ! / ! ヽ\八/,z≠ _,! レハl ̄ レヽ ム、 | l l リ | クリックジャッキングを配置しようしら!
| | ! |く ム>、 ヽ ヽ ″ 、_ r'´`|\| r==z ヽ!''く. / !│ ! l
| | | |l //l| |ヽ へ _ __ .... ヽ.」 ! .:::::::::.. r=z ∨ ハ/レ' ,' ねー、みくるちゃん。
レヘ、| |// ! !ヾ`ー ... , >-、 ヽ、 │ | , - 、.. .:::::::. /}/ /! /
ヽ! /Vハ ! | // \|___.! L ) ノ | | /
レ' リ V|〃/| //.\ ` ー' , '、 ヽ レ' ひぁあああ~!
│/ ! /// > , ー<¨ 丶 ! !
|ハ ヽ. rr、 | /イ !ヽ / | | ヽ >>433、画像を表示するタグで電話が
| | /l// /r、 r| | ト、ヽ|__r‐-、 ノレリ \
│ | 〈│!│| l !ヽ\ ` }-¨ ヽ ヽ 掛かるのは恐ろしいわね。
| ヽ ヽ! | l ヽ --L`ニ- 、____ / , ' ! ヽヽ
ヽ/ ゝ \ \ ,' | / / / i ハ | ダイヤルQ2で儲け放題じゃない。
436:名無しさん@九周年
08/09/29 15:13:00 zyysKl4U0
>>431
Amazonなんかだと、カートに入れるとこまではいくがその後の「注文する」時に
再度パスワード要求されて、何とかセーフかな。カートの中身くらい注文前にチェック
するだろうし。
あと、説明ではなんか「本体のセキュリティ設定まで云々」ってのをどっかで読んだが
まさか、なんでそんなことが可能なのか、って感じだわ。
ただ、WebベースでGUI設定するようなソフトなら、ありうるのかね。パスワード入力
して放置、なんてことはあまり無いだろうし、普通は一定時間で期限切れるだろうが・・。
437:名無しさん@九周年
08/09/29 15:14:50 duzd1wcUO
クリックジャンクス知ってる知ってる。
ハリポタに出てきた猫の名前だよな。
従兄の娘に教えてもらった。
438:名無しさん@九周年
08/09/29 15:18:11 UgdSLTl60
─==フ¨´  ̄| ``'ー- 、
/, / ,ィ'| ヽ ヽ、
// / / /〃 | | | ヽ ヾYニヽ、 >>436、それもクラッカーがAmazonのサーバーに
/,イ / / 〃/, |│!、 ',. ヽ |:.:.:ヘ:.:.\
/ / ,' / 孑|'" l !| \ } ∨:.:.:.:.:',:.:./ アクセスできる前提の話じゃないの。
/ i ,'' / j l || ヽ |`i }:.:.:.:.:.:.∨
| / |/{!7メミ、 | _ _土 l| | |:.:.:.:.:.:.:.| そんなんだったら、もっと致命的な攻撃方法が五万
| / | lム {:::::::} 'fて::;;;}7} ト、|:.:.:.:.:. 丿
|/ | │il ヒ辷 {::::::::ソ | | | ̄ ̄ | とあるわよ。
|ヽ∧} ' , ` ー'′ | /) ,' |
| | | ` 、 r‐┐ |/ノ / | Amazonのページがいつのまにか楽天へ飛ばされる
| | l |>.、`___ .. -‐'ア /l |
r‐‐'"¨¨V | | | | / \/ / | | ようになってるとか、注文単位を100倍にして異常な
≧= Ⅵ | │ /-< 〃 / | |
と´r─' _,イヽ、 ,レ'|::::::∧ / イ | | 取引を行わせるとか。
`ー┬´ | / 厂::| ∨ / │ │ |
| 丿 / /:::::::| / / | | │ まあ、後者はクリックジャック有りの方が面白いけど。
439:名無しさん@九周年
08/09/29 15:18:59 gbzzFj2+O
あぁワンピースの北米版のシャンクスのことだろ?
440:名無しさん@九周年
08/09/29 15:20:17 iyyi+MKvO
で、せっかく影響のデカサからアナウンスを控えてたのに
解決策なしのまま公表する意味は何?
441:名無しさん@九周年
08/09/29 15:20:46 Gwlr1L5XO
ネットスケープ使いのおいらは大丈夫でつか?
442:名無しさん@九周年
08/09/29 15:25:52 dH8tqKZr0
>>420
一気に危機感がなくなったwwwwww
443:名無しさん@九周年
08/09/29 15:29:35 eljypiJY0
Lynxってアタリのゲーム機だっけ?
444:名無しさん@九周年
08/09/29 15:52:17 gYSM077G0
テキストブラウザ以外全滅ってことで?
445:名無しさん@九周年
08/09/29 16:00:49 zyysKl4U0
>>438
被害者がログインしたままにしてると、「そのページを透明にして上のレイヤーに表示」させられる。
クラッカーがAmazonにアクセス出来るのではなく、形の上では被害者がアクセスし、その時の
マウスのクリック意図をクラッカーが乗っ取るという形になる。だから「クリックジャッキング」。
あくまでも、被害者がAmazonにログオンし、被害者がクリック操作をしてボタンを押してしまう。
クラッカーは、被害者が「自分がログインしたAmazonのページで操作している」と知らないままに
特定の「場所」をクリックさせるような「仕掛け」を提供するだけ。
amazonにアクセスして「こんにちは、○○さん」と自分の名前が出てきている人は、ログインした
ままになってるので、そういう仕掛けで要らぬものをカートに放り込まれる可能性はある。
446:名無しさん@九周年
08/09/29 16:32:47 0Ef92hBs0
洩れのw3mは?('A`)
447:名無しさん@九周年
08/09/29 16:36:50 VS0TG7Yl0
operaで解決
448:名無しさん@九周年
08/09/29 16:38:21 2Bg85WWH0
***恐らく多くのデスクトップが影響を受ける脅威の攻撃***
URLリンク(moech.net)
URLリンク(moech.net)
URLリンク(moech.net)
URLリンク(media.tumblr.com)
URLリンク(sylphys.ddo.jp)
URLリンク(media.tumblr.com)
449:名無しさん@九周年
08/09/29 16:45:39 5WE3HVSx0
>>447
しないよ
450:名無しさん@九周年
08/09/29 18:29:02 y/qUQ+NI0
言いたいことを>>2に言われてしまった
そういえばもしかしてw3mのローカルCGIでp2使えたりする?
451:名無しさん@九周年
08/09/29 19:27:15 owp9yc/80
悪意のあるWebサイトなら何でもできるんじゃね?
452:スレ立ててる記者は全員剥奪スレへ
08/09/29 20:45:28 IdUzdt3h0
arachneは?
453:スレ立ててる記者は全員剥奪スレへ
08/09/29 20:52:20 Jl6/VTiO0
対象スレ:【話題】Lynxを除くほぼ全てのブラウザが影響を受ける脅威の攻撃「クリックジャッキング」
キーワード:w3c
抽出レス数:0
454:スレ立ててる記者は全員剥奪スレへ
08/09/29 20:53:05 XNuvbpNw0
>>453
Amayaですね。わかります。
455:スレ立ててる記者は全員剥奪スレへ
08/09/29 20:55:19 Jl6/VTiO0
>>454
ググって今知ったw
456:スレ立ててる記者は全員剥奪スレへ
08/09/29 20:58:47 D8M1Tyx50
ぶっちゃけネットだけなら古いパソコンに何も入れないでやって、
必要あるときだけ外部のメインパソコンを使うのが一番・・
と思いつつ新パソもネット用パソコンも買わずにはや二年。
わしはいつまで学生なんじゃ・・・
457:スレ立ててる記者は全員剥奪スレへ
08/09/29 21:00:50 RF4GTU8h0
意外とw3m人気で安心した
458:スレ立ててる記者は全員剥奪スレへ
08/09/29 21:28:49 7fQKdB9o0
『ZoneAlarm ForceField』
URLリンク(www.junglejapan.com)
これの出番かw
重いらしいけどww
459:スレ立ててる記者は全員剥奪スレへ
08/09/29 21:47:29 H3BbuqOK0
なんでline mode無視したん?
460:スレ立ててる記者は全員剥奪スレへ
08/09/29 22:07:15 y/qUQ+NI0
gnome-terminalとxfce4-terminalでw3m-imgが動作しない
言及してるブログも少ないしあんまり需要無いのか…
461:名無しさん@九周年
08/09/30 03:34:17 0KGqg07B0
>>420
変態新聞糾弾のスレで、オタセンス丸出しのAAつき煽りコピペばら撒いてるのはお前かw
いつもいつも、オタ趣味がない人間から見るとセンスがズレてるぞ。
462:名無しさん@九周年
08/09/30 08:46:10 75jCsBU30
最近、寒くなってきたわねえ。
>>445、ログイン操作はクリックを掌握するだけじゃできないわよ。
ブラウザ上のサブミットボタンは、上でレスしたコードである程度押せるけど。
Amazonのような会員制の所はパスワードやIDが必要だし、
そうでない所は住所や電話番号を入力しないとならないじゃないの。
__
, ´,r== 、ヽ
!くl人ノ从)ト、カタ…
Wリ ゚ワ ゚ノiノ カタタタ…
_ /つ/ ̄ ̄ ̄/_
.\/ ./
463:名無しさん@九周年
08/09/30 10:06:28 jrvbsb+j0
>>462
>>445ではないが、>>445は、既にログインしている(最後の操作からログアウトしていない)ことを前提にしているように読めるが。
>Amazonのような会員制の所はパスワードやIDが必要だし
要らないでしょう。
464:名無しさん@九周年
08/09/30 10:53:48 6UXkCco60
例えば、今
URLリンク(www.amazon.co.jp)
のリンクをクリックしたときに、一番上に「こんにちは、(個人名)さん」と書いてあれば、
キーボードからは何も入力せずとも既に「ログインしている状態」。
カートのボタンは、すでに「あなた個人のカート」のボタン。
最低でも、IDでログインするタイプのサイトは、途中で他のことをせずに用事は速やかに
終わらせ、用事が済んだらきちんとログアウトしておこう。まあこんなスレ覗いてる人には
常識なんだろうが。
465:名無しさん@九周年
08/09/30 12:37:21 MTEb/uu/0
amazonトラップはamazonドメインのページを踏んだだけで住所流出だった気がする
パスワードもIDもブラウザが勝手に入力するとこういうまずいことが起きるけど
出先でPCを使ってる自分は手の動きでパスワード丸見えなので
省略してくれた方がむしろありがたかったりする
466:名無しさん@九周年
08/09/30 14:15:23 AjD3W1Na0
/ ヽ , -‐…- ヽ / >、 ______
/ / , ' " ̄ ヽ\二}ニニ!´ ol丶、 >>646、なぜ探偵ガリレオなのか気になる
. / , // / ヽ ヽ ヽヽ ニ'ャ- 、]` ' ¨ ̄ ~¨└ 、ヘ
/ l |' /,' 、 ヽ | ,Xヽ ! | , , ,' 、 `くヘ 所だけどそれはいいわ。
/ ii ! / ! ハ ハ!',z=| /.リ ,' l ! \ \ヘ
,' ,' ,' l !/! | / / / ″ ,|ハ ! / / | ! | ヽ 、 ヽ ヽ 前に入手が難しい古本を買った事があるから
|│ | ! l | ,ト ー/- レ' イ | | /|/ ,ムイ ! ! } | | !
|││ ! / ! ヽ\八/,z≠ _,! レハl ̄ レヽ ム、 | l l リ | アクセスしてみたけど、これって会員でも普通に
| | ! |く ム>、 ヽ ヽ ″ 、_ r'´`|\| r==z ヽ!''く. / !│ ! l
| | | |l //l| |ヽ へ _ __ .... ヽ.」 ! .:::::::::.. r=z ∨ ハ/レ' ,' アクセスしただけではログインできないようね。
レヘ、| |// ! !ヾ`ー ... , >-、 ヽ、 │ | , - 、.. .:::::::. /}/ /! /
ヽ! /Vハ ! | // \|___.! L ) ノ | | /
レ' リ V|〃/| //.\ ` ー' , '、 ヽ レ' ひゃはっ!す、涼宮さぁああ~ん!
│/ ! /// > , ー<¨ 丶 ! !
|ハ ヽ. rr、 | /イ !ヽ / | | ヽ yahooやexciteとか同じで、あくまでユーザーが
| | /l// /r、 r| | ト、ヽ|__r‐-、 ノレリ \
│ | 〈│!│| l !ヽ\ ` }-¨ ヽ ヽ 一度手動でログインした状態にないと駄目なのよ。
| ヽ ヽ! | l ヽ --L`ニ- 、____ / , ' ! ヽヽ
467:名無しさん@九周年
08/09/30 14:19:26 AjD3W1Na0
_ ─` l 、 `r< ̄:::/
/ , 〉. 、 \__j:::::::\_|_
∠ -─ フ´ l ./|ヽ_ヘ\__\ 、\:::::::::::::::::\ したがって、セキュリティ上の問題性は
r'/ / || ! ヘl \_`ヽ \ヽ、::::::::::::/
〉 / -7l.! l ヽ \ ヽ ヽ、ヽ:::::::::人 さほど大きいとは言えないわ。
.' ,' ! i l __,rz ヽ} ヽl `::/ \
l /:l | | _,,z ==" rへヘー!´ヽ, ‐, \ IDはクッキーで自動入力される所も
K__| ヽ ハ彡" _ __,イ` rヘ / /. \
l /入!、! く 冫 / ! ! l i' /っ、 \ 多いでしょうけど、パスワードは
. ∨/ / .>、 _____ /l´ヽ、j/ f { `l ヽ \
. ,' / / ! | /:::;j_ /:::::::/ A そ_,ヘ \. \ たいてい手入力だもの。
l / / | イ:::::|´ `!:::::::/ //::ヽ/ ハ、_ \ \
|/ , |,ハ:ヽ::::| ,'::::::/ //:;;//'/ノ l \. \ シマンテックの更新を
/ , !ヘ〉、ヽ:! .,':/// /. \// / ヽ \ \
/ ,' ノ///}_ヘ!.!/´// ,' _ `l、/ } \ \ してない方がまだ
,' , /k ' ' トV/'// l i、`ヽ、 / \ \ \
. ! l イヽ、ヽ、△ヽイ/! ! \  ̄ ̄ しも問題性が高いわよ。
468:名無しさん@九周年
08/09/30 14:21:58 C9+P060I0
Lynxってなんぞ?
469:名無しさん@九周年
08/09/30 14:34:20 6G9EdNbT0
w3mもアウト?
470:名無しさん@九周年
08/09/30 14:54:30 3HpL5t5Q0
>>356
Preferenceツールバーとか
471:名無しさん@九周年
08/09/30 15:15:43 IOtczoaL0
WebBoyも危険なのか?
472:名無しさん@九周年
08/09/30 16:00:29 689EoZGp0
>>467
>IDはクッキーで自動入力される所も
>多いでしょうけど、パスワードは
>たいてい手入力だもの。
は?
473:名無しさん@九周年
08/09/30 16:17:56 jrvbsb+j0
>>472
稀にあるよ、そういうサイト。クッキー見てIDを送ってくるというのが。
>>466の書き方を見ると、詳しくなさそうだから、勘弁してあげて。
474:名無しさん@九周年
08/09/30 16:41:42 A2Ir6I+W0
{:::::::: | /::::::::::::∨ /: : : : : : /: : : : :/:.:| !: : : : : : : : \:::ヽl
ヽ::::: |.!:::::::::::: /: :{: : : : : //: : : : ,イ: :/ |:ト、 : : : i: : : : ヽ::::〉
\|l::::::::::::/: :,イ: : : : ィ7ー-、 / |: / |:.! ,X: : :}: : : : : :.V
/l、::::: / / |: : : :/ イ: : / !/ l:.|´ ∨ |: : :i、.: : !
. l: :l ̄ |/r‐、l: : :.//|/ |/__ ,ィ.: :|: : :|ヽ: : :!
l : :!: : :.:.{ ヽ.|:.:.:/ヤ乍牙气 斤ァ/ハ:|: : :l \| >>472-473、稀に?
. | : :!: : :.! ト、_.l/ {:辷.ソ 辷/{: :∧!: :/
. | : :l: : :.l≦ミヽ ヽ ,,¨ ̄ ,. }/:.:!:.∨| クッキーでのID入力が稀に?
l : : ! : / \\\ .____(^ーァ____,. イヽ:.!: :.:.:|
| : : l:.:,' ,.ヘ_と}_}_}_]≧、 `ヽー┴‐-、:| 例えば2chのハンドルネームも(ry
| : : l:.| '"´ ヽヽヽヽ- 、 }!
| : : l:.{ {:.:{:.:{:.{ 〉 {--―ァ
|: : :.l:.|ヽ、 }:.:}.:.}.:}ィノ____〉<´
|: : :.:/ /\_______,. -‐一'¨´i ̄¨´:.i:.:.:.:.:.:.:.:.:.:.:.:.:.:.ヽ
|: : / /:.:.:./:.:.:./:.∧:.:./:.:.:.:,イ:.:.:.:.:.:.:.}:.:.:.丶:.:\.:.:.:.:.:.:.\
|: :.{ {:.:.:/:.:.:./:.:(__):!:.:.::./ |:.:.:.:.:.: ∧:.:.:.:.:.ヽ:.:.ヽー----ゝ
|: :.l/ !:.:.!:.:.:.:!:.:.:.:.:.:.、l:.:.:/ .!:.:.:.:. / ヽ/:.: i:.:.:.:ヽ
|:.:/ .|:.:.!:.:.:.l:.:.:.:.:.:../「:メ、__,|:.:.:.:/ 、_/ ヽ:.:.:.|:.:.:.:.:.i はいはい、exciteもその他のページも
l:/ |:.:.! :.:.!:.:.:.:.:/ |/_ |:.:./ ____ ∨:|:.:.:.:.:.|
|{ |:.:.!:.:/!:.:.:./|≡≡≡ .!./ ≡≡=.ト、ト、:.:.:.:| みんなクッキーで自動入力ですよ。
|: >、___|:.:从_|:.:./: | ’|:.:.|:∧:. |
|/ /|:/:.:.:!|:/:.:.:.! xxx __ xx ノ:.:.l/ ∨ パスワードはともかく。
475:名無しさん@九周年
08/09/30 17:02:03 LAJmJ/3+0
殿様Lynx
476:名無しさん@九周年
08/09/30 17:11:14 689EoZGp0
このAA馬鹿が大好きそーなニコニコ動画なんかは
どう見てもパスワード手入力じゃないけどな。
ほかにgoogleも自動、amazonも自動、yahooも自動、
素人相手だといちいち手入力しないといけないようなログインシステムは逆に煩雑だと叩かれるから
まぁ詳しくないことはさておき身近な例も思いつかない池沼なんだろう
477:名無しさん@九周年
08/09/30 17:44:38 5ndClRJ00
サイトによって色々あるでいいじゃん。
めんどくさ。
478:名無しさん@九周年
08/09/30 17:55:53 A2Ir6I+W0
\_ー、 _f ヽ, ‐──- 、
_ ─` l 、 `r< ̄:::/
/ , 〉. 、 \__j:::::::\_|_
∠ -─ フ´ l ./|ヽ_ヘ\__\ 、\:::::::::::::::::\ >>476、amazonは自動じゃなかったと思うわよ。
r'/ / || ! ヘl \_`ヽ \ヽ、::::::::::::/
〉 / -7l.! l ヽ \ ヽ ヽ、ヽ:::::::::人 >>436もそう言ってるわ。
.' ,' ! i l __,rz ヽ} ヽl `::/ \
l /:l | | _,,z ==" rへヘー!´ヽ, ‐, \ ニコ動は基本無料なんだもの、それでいいじゃない。
K__| ヽ ハ彡" _ __,イ` rヘ / /. \
l /入!、! く 冫 / ! ! l i' /っ、 \ つまり、料金が発生したり契約を交わしたり
. ∨/ / .>、 _____ /l´ヽ、j/ f { `l ヽ \
. ,' / / ! | /:::;j_ /:::::::/ A そ_,ヘ \. \ するようなセッションは、大抵パスを
l / / | イ:::::|´ `!:::::::/ //::ヽ/ ハ、_ \ \
|/ , |,ハ:ヽ::::| ,'::::::/ //:;;//'/ノ l \. \ クッキーで入力しない所が多いのよ。
/ , !ヘ〉、ヽ:! .,':/// /. \// / ヽ \ \
/ ,' ノ///}_ヘ!.!/´// ,' _ `l、/ } \ \ お分かりかしら。
,' , /k ' ' トV/'// l i、`ヽ、 / \ \ \
479:名無しさん@九周年
08/09/30 18:03:30 A2Ir6I+W0
/ : : ; : : /_..-──- ._: :\
. / : ; : :/: : /´ ______\: ヽ
/: : _/: :/: : 厶 '´: : : : : : : : : : : : : :`ヽ: ヘ それから>>473は、クッキーによるID入力が稀だと
/:/ ,.'7: : :/: : : :|: : : : : : : : : : : : : : : : ヘ: ',
/' , '/ i: : : :|: : : ∧ : : : : : : : : |: : : |: : : : i: | 言ってるんだけど。
. ハ厶i. |: : : :|: :.|:.l ',: : | : : : : : |: : : レ': : :|: |
|:.7 /トr|: : : :�A」_| \|\ : : : | x'´ハ: : : ;' ハ 話がずれてるわ。
|:.' /: | r{ : : : |: ∧「`ヽ、.___,.\: イ__V_,|: :rf:/| |
|:| |: :.| | |: : : :N 'Tに叮 ヾ hィ}r〈 { 'j.ト'| 大体、クッキーでパスも入れるような商用サイトは
|:ヽ: :.| |、|: : : :| ゞ-‐’  ̄´l | | l': :!
l: : : └ : ヘ: : :|、 ' ノ } リ : | あんまり無いって事よ。
∨: : : : : :|ヘ: :.l \ r─ャ _. '´ l: ,l: |
,.、ヘ\ : : | ト: l ` ._ ,r´ イ、 j/ 悪意あるクライアント内プログラムや、席を離れた隙に
,〈 ', ', ヽ: } | ヽ / 「| ィ ´|||',
/ ',. ', ', V | ム -‐ ´ } ||| | 滅茶苦茶にされたらアレじゃない。
480:名無しさん@九周年
08/09/30 18:04:24 juJDxKpT0
で、ぷにる派の俺はどうなるの
481:名無しさん@九周年
08/09/30 18:07:43 TaKnyX5R0
>>116
中国人が編み出したgoggleは有名だったなw
482:名無しさん@九周年
08/09/30 18:18:00 G2/m+5lb0
ハルヒのエロ同人が読みたくなった。
俺の脳が ID:A2Ir6I+W0にクリックジャックされている。
483:名無しさん@九周年
08/09/30 18:32:40 VbLw3b1r0
>>480
あれは標準だとIEのコンポーネントを使ってる
つまりアウト
484:名無しさん@九周年
08/09/30 18:34:27 8PSzk3Zk0
>>480
Tridnet or Gecko
いわゆるIEとFirefox(有名どころでいく場合@SleipnirのGeckoのバージョンは古いらしい)
485:名無しさん@九周年
08/09/30 18:36:36 8PSzk3Zk0
×Tridnet
○Trident
どちらにしてもアウト
486:名無しさん@九周年
08/09/30 18:45:35 sdY/veZu0
>>45
インターネット社ってあるよ
487:名無しさん@九周年
08/09/30 18:49:44 Y7gikX9X0
tube8には仕掛けねぇでくれよw
488:名無しさん@九周年
08/09/30 18:55:52 lPq0IvJnO
ようつべは何故firefoxを勧めてくるの?
IE危険なの(._.)?
489:名無しさん@九周年
08/09/30 20:01:04 6UXkCco60
>>477
そゆこと。判明した以上、今後はユーザも毎回ログアウトするなどの工夫は必要になるだろうけど、
特に個人情報共有のサイトなんかの公開/非公開設定の変更なんかはパスワードの再入力なんかの
ワンクッション置く工夫をしてほしい感じだ罠。実際myspaceの設定変更は簡単に出来てしまった。
mixiやPicasaの公開設定、Googleカレンダー共有なんかは確かめてないが。
漏れがよく使う買い物サイトは、ワンクリック注文可能でもパスワード入力のワンクッションが
要る感じだったが、他のサイトはどうなのかはわからんし。
490:名無しさん@九周年
08/09/30 21:46:48 8PSzk3Zk0
>>488
FirefoxはIEと比べればセキュリティ対策が早いし、IEはHTML標準のチェックにクリアしていない(IE8で初めてクリア)ため、Firefoxに移行する人が増え始めた。
それが影響してFirefox専用のサイトが増えてきているんだよな。
ウェブ制作者の立場から言えばIEはバグだらけですごく鬱陶しい存在だし。
491:名無しさん@九周年
08/10/01 02:09:31 oWZ7Z+9r0
>>205
その前提条件ならこんな回りくどい方法を使わずもっと直接的に攻撃できるんじゃないか?
俺もニュースサイトの情報からは>>190あたりだと感じたが、
これだと攻撃の第一段階が成功した後の無数にある選択肢が
また一つ増えた程度のイメージでしかないなあ。
492:名無しさん@九周年
08/10/01 02:40:49 oE5LcVWZ0
それにIEはレンダリングも遅いし、UIも使いにくいからな。
取り柄が今のところ過去の遺物であるActiveX()笑wだけ。
TraceMonkeyには期待してる。
493:名無しさん@九周年
08/10/01 09:33:25 L9TkeRYsO
>>490
そうなんだ。
一昔前はIE以外はバグ出るみたいなかんじだったよねぇ
494:名無しさん@九周年
08/10/01 23:22:11 fTswzNRT0
w3m使い多いな
いいことだ
495:名無しさん@九周年
08/10/01 23:28:57 udmVO5KX0
>>493
IEもネスケもぱくったmozaic由来のバグ満載だった。
ネスケはfirefoxになる過程でそれらとおさらば済みという歴史。
IEは独自機能と一緒に独自バグを作り込むという歴史。
496:名無しさん@九周年
08/10/01 23:59:38 dcscaK4n0
lynxは便利だ
497:名無しさん@九周年
08/10/02 00:05:38 SrN7BTOw0
>>493
IEはHTMLの許容度が高すぎて、文法的におかしいHTMLもそれっぽく表示できた。
IEより正確に解釈する他のブラウザではバグありのHTMLを、製作者の意図通りに描画できなかった。
結局はまともなHTMLも書けないコーダーが悪い
498:名無しさん@九周年
08/10/02 00:22:33 IWuymDRY0
IEは3はマトモだったんだよな。まぁ買って来ただけだったからなんだけど。
4以降はofficeとの連携と、インターフェースとしてのFrontpageの煮詰めの甘さで
W3Cもへったくれもないブラウザになってしまった。Windows Meもとばっちりで
デスクトップリソース確保との都合でクソOSになってもーたし。
499:名無しさん@九周年
08/10/02 09:20:17 O+c+jHkl0
どのくらい大変なことなのかよくわからないんだが、結局ターゲットとなるサイトを何らかの方法で改竄することが前提なんだよな?
ようするに、ブラウザの脆弱性ってよりはサイトの脆弱性の問題なんでしょ?
ちがうのかな。
たとえばさ、yahoo のトップページで検索ボタンを押したらおれのサイトの掲示板に書き込みが行われるように仕掛けるには、
結局 yahoo のトップページを改竄する方法がわからなけりゃいけないんだよな?