えーっと (#1812403) | firefoxのiframeに脆弱性？

「firefoxのiframeに脆弱性？」記事へのコメント

記事ページを表示すべてのコメント取得

検索21コメント Log In/Create an Account

えーっと (スコア:0)

by Anonymous Coward on 2010年08月19日 19時15分 (#1812403)

そんなiframe仕込まれる時点で、親フレームのサイトがおかしいだろ?
ってこと？
- Re:えーっと (スコア:4, 参考になる)
  
  by Anonymous Coward on 2010年08月19日 20時16分 (#1812422)
  
  それもあるし、そもそも警告を出すのはロケーションバーに表示されたURLを見間違うおそれがあるからだけどiframe内のページのURLはロケーションバーに出ないだろ、というのもある。
  この問題に関するBugzillaのバグ
  https://bugzilla.mozilla.org/show_bug.cgi?id=570658 [mozilla.org]
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ですよねえ。
    
    これでこの話は終了かと。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そんなiframe仕込まれる時点で、親フレームのサイトがおかしいだろ?
  ってこと？
  Facebookみたいにiframe多用するソーシャルアプリだと結構危険じゃないかな？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  親フレームのサイトが改竄されちゃうのも問題だけど、そのサイトを
  踏んだFirefoxユーザのマシンに対して、なんら気付かれることなく何かを
  注入することが可能って話だよね。
  
  FlashとかPDFとかの脆弱性を使えば、iPhoneのSafari並みに危険な攻撃が
  可能になるんじゃないかな。
  
  単体では脆弱性じゃないと判断できても、他のプラグインの脆弱性と組み合わせると
  ハイリスクな脆弱性になるのだから、Mozillaのセキュリティに対する意識が低い
  というのがよくわかる事例ですね。
  
  ぶっちゃけ、FirefoxよりIE8のほうがセキュリティに強いのは間違いない。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    それはiframeすら関係のない話では？
    flash埋め込み等にはない、iframeならではの危険性、それもurlに@が使用できることでの危険性が何かあるのでしょうか？
    flash埋め込むよりiframe埋め込む方が簡単とか、flashオフにしてる人はいてもiframeオフにしてる人はいないとか、そんな話でしょうか？
    どの様なことを想定した話なのかさっぱり分かりません。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      大きさが０のiframeで攻撃スクリプトやファイルを読み込ませて、
      閲覧者へ全く表示もせず、注意喚起もせずに感染させることが
      できるんじゃないの？
      って言う話。
      
      ていうか、そんな単純な話を想像しきれないの？
      - Re:えーっと (スコア:1, すばらしい洞察)
        
        by Anonymous Coward on 2010年08月20日 16時20分 (#1812768)
        
        攻撃スクリプトは直接埋め込めないけどiframeなら埋め込み可能って話でしょうか？
        でもそれってfirefox関係ないですよね。
        iframeが埋め込み可能なのはそのサイトの問題で、iframeで他サイトのページが埋め込めるのはiframeの仕様で、攻撃スクリプトで感染してしまうのはブラウザのjavascriptエンジンやプラグインの問題で、BASIC認証式のurlをiframeで使ったときに警告が出ないのとは関係ないです。
        というか、通常のurlのiframeで出ない警告が、@の付いたBASIC認証式のurlの場合に必要な理由はなんでしょうか？@の有り無しでどのような危険性が出るのでしょうか？何のための警告なのでしょうか？
        そういうところの理解が大切だと思うんだけど。
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        ホスト名を誤認したまま個人的な認証情報をロケーションバーで直接入力しない限り、フィッシングにはやはり繋がらないのでは？
        因って、(#1812422) [srad.jp]で述べられているように警告ダイアログも前述の場合以外は表示する必要がないと思う
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        そんなの全然脆弱性じゃない。素人はすっこんでたほうがいいよ。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

firefoxのiframeに脆弱性？ More ログイン

「firefoxのiframeに脆弱性？」記事へのコメント

えーっと (スコア:0)

Re:えーっと (スコア:4, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:えーっと (スコア:1, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0)

スラド