トップ «前の日記(2004-06-13 (日)) 最新 次の日記(2004-07-29 (木))» 編集

スレッドメモ

MLやNewsのスレッドをメモする試み。

2003|01|02|04|05|06|07|08|10|11|
2004|01|04|05|06|07|08|09|11|12|
2005|01|02|04|08|09|
2006|01|03|04|08|
2007|01|05|
2009|05|

2004-07-02 (金)

[memo] フレーム中に任意のコンテンツ

[7616] 岩田尚一 (7/2)

しかしこれってただのHTMLの仕様と言うだけなんじゃないでしょうか? 確かにフィッシングに悪用できることは判るんですが、そもそも今回の件はセキュリ ティホールなのかどうか、私はわからなくなりました。????

[7617] TAKAGI, Hiromitsu (7/2)

過去にMS98-020で修正された実績があるということなので、セキュリティホー ルなんでしょうね。Netscape Communicatorでも修正されていた実績があるの でしょうかね。

1998.11.17 The Frame Spoofing vulnerability
http://www.st.ryukoku.ac.jp/~kjm/security/memo/1998/11.html#19981117_FRAME_SPOOF

となると、ユーザの自衛策の鉄則は、右クリックしてプロパティで確認でしょ うか。右クリックが禁止されていたらそんなサイトは使わないことにすると。

そもそも、FRAMEに親フレームと異なるドメインのページを表示できるという HTMLの機能が不要かつ、邪悪だったのではないですかね。このさいいっそ、そ れを廃止してしまってはどうでしょうか。同じドメインのページしか表示でき ないように。

[7619] y-yamamoto (7/2)

IE6 では、違うドメインのページがフレームに表示されてしまうのは禁止できな いみたいです。 しかし、フレームの中身が違うドメインのページに置き換えら れてしまうのは、オプション設定で制限できるようです。 (たぶん、IE5.x も)

セキュリティの設定 - 異なるドメイン間のサブフレームの移動 の項目です。

これで、 http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/ のリンクは動作しません。

[7620] TAKAGI, Hiromitsu (7/2)

ということは、この件は、単純に昔のセキュリティホール(MS98-020)が復活 してしまっていたというよりも、当時のMicrosoftの判断として、設定で禁止 できるようにしたうえで、あえて元に戻していた、つまりデフォルト設定では 昔の仕様に互換性を持たせた(insecure/compatible by defaultを選んでいた) ということですかね。

[7622] y-yamamoto (7/2)

Secunia のアドバイザリ http://secunia.com/advisories/11966/ を、きちんと 把握していないので断言できませんが、もしも、上記の問題だけであるならば、 報道されている…

/*
IE 6/5.5/5.01では、現在のところマイクロソフトからこの脆弱性を修 正するためのセキュリティ修正プログラムは提供されていない。
*/
(http://internet.watch.impress.co.jp/cda/news/2004/07/01/3726.html より引用)

…という表現は、IE の利用者には危険を回避するすべがまったく無いかのよう に誤解される可能性があるので、不親切な文章だと思います。

…も、上記の Microsoft の対応を知らない (あるいは、伝えていない) という 点で、不適切なのではないかと思います。

という報道は、上記の Microsoft の対応を知らず、IE の仕様を誤解していると 言えるでしょう。

なお、以上の議論は、私の理解しているところが、MS98-020 の "Frame Spoof" 問題だけが今回の原因である、というところから出ています。 この前提が違っ ているならば、当然ながら私の見解は間違っていることとなります。

[7629] biac (7/3)

…どうやら、大きく外してはいなかったようです。 f(^^;

さて。 Secunia のアドバイザリは訂正されましたが… 「この問題に関しては、IE はダメダメ。 IE を捨てなさい。」と言わんばかり の論調の、IE ユーザを「脅す」記事を報道してしまったマスコミは、同レベル の露出度で訂正記事を出してくれるでしょうか?

[7646] biac (7/11)

さて、一週間経ちました。

Google で検索したところ、訂正記事ではないですが、IE の設定法を書いてくれ ているページが見つかりました。 ただし、1件だけ。 (苦笑;

http://www.forest.impress.co.jp/article/2004/07/05/framefraud.html
> IE の“フレーム詐称問題”はセキュリティ設定で回避可能

see also: http://akari.kabe.co.jp/magSite/Content.aspx?id=20040710195951

[ツッコミを入れる]
2003|01|02|04|05|06|07|08|10|11|
2004|01|04|05|06|07|08|09|11|12|
2005|01|02|04|08|09|
2006|01|03|04|08|
2007|01|05|
2009|05|
トップ «前の日記(2004-06-13 (日)) 最新 次の日記(2004-07-29 (木))» 編集
カレンダー
2004/7
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
一覧表示
eclipse-ml | fj | fj.comp.lang.c | fj.net.watch | fj.net.www.authoring | fj.news.net-abuse | fj.news.policy | fj.news.reader | fj.os.linux | fj.os.ms-windows.win2000 | FreeBSD-users-jp | JavaHouse-Brewers | JavaHz | linux-users | memo | mysql | oosquare-ml | openoffice | pgsql-jp | vine-users | XP-jp
最近
情報源
FreeBSD-users-jp / JavaHouse-Brewers / JavaHz / XP-jp / eclipse-ml / fj / linux-users / memo / mysql / oosquare-ml / openoffice / pgsql-jp / vine-users
Generated by tDiary version 5.2.0
Powered by Ruby version 3.0.2-p107