スレッドメモ
MLやNewsのスレッドをメモする試み。
2004-07-02 (金)
◆ [memo] フレーム中に任意のコンテンツ
[7616] 岩田尚一 (7/2)
しかしこれってただのHTMLの仕様と言うだけなんじゃないでしょうか? 確かにフィッシングに悪用できることは判るんですが、そもそも今回の件はセキュリ ティホールなのかどうか、私はわからなくなりました。????
[7617] TAKAGI, Hiromitsu (7/2)
過去にMS98-020で修正された実績があるということなので、セキュリティホー ルなんでしょうね。Netscape Communicatorでも修正されていた実績があるの でしょうかね。
1998.11.17 The Frame Spoofing vulnerability
http://www.st.ryukoku.ac.jp/~kjm/security/memo/1998/11.html#19981117_FRAME_SPOOF
となると、ユーザの自衛策の鉄則は、右クリックしてプロパティで確認でしょ うか。右クリックが禁止されていたらそんなサイトは使わないことにすると。
そもそも、FRAMEに親フレームと異なるドメインのページを表示できるという HTMLの機能が不要かつ、邪悪だったのではないですかね。このさいいっそ、そ れを廃止してしまってはどうでしょうか。同じドメインのページしか表示でき ないように。
[7619] y-yamamoto (7/2)
IE6 では、違うドメインのページがフレームに表示されてしまうのは禁止できな いみたいです。 しかし、フレームの中身が違うドメインのページに置き換えら れてしまうのは、オプション設定で制限できるようです。 (たぶん、IE5.x も)
セキュリティの設定 - 異なるドメイン間のサブフレームの移動 の項目です。
これで、 http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/ のリンクは動作しません。
[7620] TAKAGI, Hiromitsu (7/2)
ということは、この件は、単純に昔のセキュリティホール(MS98-020)が復活 してしまっていたというよりも、当時のMicrosoftの判断として、設定で禁止 できるようにしたうえで、あえて元に戻していた、つまりデフォルト設定では 昔の仕様に互換性を持たせた(insecure/compatible by defaultを選んでいた) ということですかね。
[7622] y-yamamoto (7/2)
Secunia のアドバイザリ http://secunia.com/advisories/11966/ を、きちんと 把握していないので断言できませんが、もしも、上記の問題だけであるならば、 報道されている…
/*
IE 6/5.5/5.01では、現在のところマイクロソフトからこの脆弱性を修 正するためのセキュリティ修正プログラムは提供されていない。
*/
(http://internet.watch.impress.co.jp/cda/news/2004/07/01/3726.html より引用)…という表現は、IE の利用者には危険を回避するすべがまったく無いかのよう に誤解される可能性があるので、不親切な文章だと思います。
…も、上記の Microsoft の対応を知らない (あるいは、伝えていない) という 点で、不適切なのではないかと思います。
という報道は、上記の Microsoft の対応を知らず、IE の仕様を誤解していると 言えるでしょう。
なお、以上の議論は、私の理解しているところが、MS98-020 の "Frame Spoof" 問題だけが今回の原因である、というところから出ています。 この前提が違っ ているならば、当然ながら私の見解は間違っていることとなります。
[7629] biac (7/3)
…どうやら、大きく外してはいなかったようです。 f(^^;
さて。 Secunia のアドバイザリは訂正されましたが… 「この問題に関しては、IE はダメダメ。 IE を捨てなさい。」と言わんばかり の論調の、IE ユーザを「脅す」記事を報道してしまったマスコミは、同レベル の露出度で訂正記事を出してくれるでしょうか?
[7646] biac (7/11)
さて、一週間経ちました。
Google で検索したところ、訂正記事ではないですが、IE の設定法を書いてくれ ているページが見つかりました。 ただし、1件だけ。 (苦笑;
http://www.forest.impress.co.jp/article/2004/07/05/framefraud.html
> IE の“フレーム詐称問題”はセキュリティ設定で回避可能see also: http://akari.kabe.co.jp/magSite/Content.aspx?id=20040710195951
2004-07-29 (木)
◆ [fj][fj.news.policy] [CFD] fj.news.supporters, fj.mail-lists.supporters
<ceam79$hb4@utogw.gssm.otsuka.tsukuba.ac.jp> kuno (7/29)
fj.news.policyをご覧の方はだいたいお分かりになると思うのですが、 fj-news.orgドメインの維持などを目的としてfj後援会というボランティ ア組織が作られ、活動をはじめています。ここまで内容非公開のML(た だし多くのメッセージは発信者がfj.news.policyにも流しています)だ けだったのですが、公開MLも用意して内容を公開したい、fjなのだから ニュースグループでも議論したいという意見もありまして、それに賛同 する私から表記2グループのCFDを提出させて頂きます。グループ名憲章 等すべて叩き台ですので遠慮なくご意見をお願いします。
<4108eb51$1_3@127.0.0.1> v(*^。^*) (7/29)
fjを後援する宗教家が、お布施の催促、及び布教活動を行っても宜しいのでしょうか?:-)
<4108FF58.5E907EFC@ht.sakura.ne.jp> IIJIMA Hiromitsu (7/29)
X-No-Arcihve: Yes がついているので全文引用しておきます。 この御仁はこういうことをする人だということをご留意ください>>各位
<410a34f2_3@127.0.0.1> v(*^。^*) (7/30)
〓「ローカルに保存出きるので」で確信が持てました。
〓あのときあそこでブツクサ言っていた人ですね。
〓あのとき総すかんを食らったという事実を忘れていませんか?で、何が言いたいの? X-No-Arcihve: Yes は、検索サイトに対する意志表示ですが、 何か悪いことをしてるんでしょうか?
<410B92FE.8F5120C6@ht.sakura.ne.jp> IIJIMA Hiromitsu (7/31)
> 〓X-No-Arcihve: Yes がついているので全文引用しておきます。
> 〓この御仁はこういうことをする人だということをご留意ください>>各位
> これ↑は、本件とどの様な関係があるのですか?あなたが、将来のネットニュース参加者に対して情報を残す意志がない、と自ら 宣言しているということです。現に1年前はそう明言しましたよね。誰か古い 記事を持っている人を探して個人的にもらえばいい、と。
<410bb62b$1_5@127.0.0.1> v(*^。^*) (8/1)
〓3.「v(*^。^*)」氏は、特に理由がないのに頻繁に From: の記名を変えており、
〓 名前の一貫性がない。メールアドレスすら使い捨てにしている。今後もさらに
〓 コロコロ変える可能性があるので、その懸念を払拭してもらえないと、私とし
〓 ては有効票とはみなせない。CFV は「実在する個人」による投票を暗黙のうち
〓 に仮定している(それゆえ「1人1票」という規定がある)ので、投票者の実
〓 在性が保証されないのでは困る。サーバ持ちや大学の先生方と違い、メイルサーバに制限がありますからねぇ。 ウイルスによる From 詐称で困っているんですよ。 NetNews 利用者が減った一因だと思いますよ。
<3990069news.pl@insigna.ie.u-ryukyu.ac.jp> Shinji KONO (8/1)
comp 系ではむしろ増えているんだよね。減っているのは Netnews ではなくて、 fj 。
<4112B8CD.9D3ECE20@ht.sakura.ne.jp> IIJIMA Hiromitsu (8/6)
ですね。 で、どこに流れたかというと、私の予測は 2ch。
v(*^。^*) 氏はヘッダに
> Newsfeeds.com http://www.newsfeeds.com 100,000+ UNCENSORED Newsgroups.
とつけていますけど、一方で、現在、2ch で生きているスレッドの数が大体10万、 と関係者が公表しています。ニュースグループ1個と 2ch のスレッド1個は単純 には対応しませんが、桁合わせ程度の見積もりはできるのではないかと。
<cev9ju$sfn$1@nh1.u-aizu.ac.jp> ayumu oshimi (8/6)
飯嶋さんって、まだそんなに年往ってないですよね。 あなたはfjを滅ぼします。癌みたいなもんです。 佐々木将人とか厨子直人と同類です。
飯嶋さんは彼らみたいな年寄りと違いますし、まだ大丈夫だとは 思うんだけど、ちょっと心配です。
<411383a3$1_4@127.0.0.1> v(*^。^*) (8/6)
それは、ちと言い過ぎちゃう? NetNews に貢献してきた事は事実なんやし、尊敬してますよ。
<cf0k9a$ecd$1@nh1.u-aizu.ac.jp> ayumu oshimi (8/7)
とりあえず、管理者は敵です。 現状で別に飯嶋さんに何の恨みももってないですけど、今後は 心配です。意固地な年寄りにはなって欲しくないです。 実際にどういう対応するかどうかはべつとして、v(*^。^*)氏の 発言を冷静に読めるくらいの余裕を持って欲しいです。