アカウント名:
パスワード:
ブラウザーと合体したら余計アップデートの回数増えちゃうじゃないですかー!Mac OS Xの場合、FF再起動が必要なんでありがたくない。
もしこのPDFビューアーを攻略可能なら、PDFを使わずともHTMLとJavaScriptだけで同様に攻略可能。つまりブラウザそのものに脆弱性があったということにほかならない。だからこのPDFビューアーが新たに脅威を追加することはない。そのための純粋JavaScript実装。OSそのものをクラッシュさせることができるなら、それはアプリではなくドライバのバグであるというのと同様の話。
ちょっと難読化されてるようなので一言でいうと、中身はJavaScriptだからそれと同じくらいの安全性だよ、ってこと。
で、JavaScriotに脆弱性があったらどうせブラウザをアップデートしなければならないんだから「アップデートの回数が増える」ことはないはずだよね、と。
上のレスと併せて、参考になる( ・∀・)つ〃∩ ヘェーヘェーヘェーブラウザー搭載型PDFエディタも出ればいいのに。
PDF.jsにバグがあった場合、悪意あるPDFを読み込ませることでXSSが可能、という点で攻略可能なポイントが増えます。
おそらく、PDF.jsが動く領域はサンドボックス化されてる、つまり同サーバ上の他のコンテンツとは別ドメインとみなされるんでしょうけど。その場合、「PDF.jsサンドボックス化」のコードのみが、脅威を増やす可能性がある部分、ということになるかな?単純な機能なので、穴はないと信じたい。
XSS出来るような状況なら最初から.js読み込ませろや
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
いままでPDFビューワの脆弱性って結構あったけど、 (スコア:0)
ブラウザーと合体したら余計アップデートの回数増えちゃうじゃないですかー!
Mac OS Xの場合、FF再起動が必要なんでありがたくない。
Re:いままでPDFビューワの脆弱性って結構あったけど、 (スコア:1)
もしこのPDFビューアーを攻略可能なら、PDFを使わずともHTMLとJavaScriptだけで同様に攻略可能。つまりブラウザそのものに脆弱性があったということにほかならない。だからこのPDFビューアーが新たに脅威を追加することはない。そのための純粋JavaScript実装。
OSそのものをクラッシュさせることができるなら、それはアプリではなくドライバのバグであるというのと同様の話。
Re:いままでPDFビューワの脆弱性って結構あったけど、 (スコア:2, 参考になる)
ちょっと難読化されてるようなので一言でいうと、
中身はJavaScriptだからそれと同じくらいの安全性だよ、
ってこと。
Re: (スコア:0)
で、JavaScriotに脆弱性があったらどうせブラウザをアップデートしなければならないんだから「アップデートの回数が増える」ことはないはずだよね、と。
Re: (スコア:0)
上のレスと併せて、参考になる( ・∀・)つ〃∩ ヘェーヘェーヘェー
ブラウザー搭載型PDFエディタも出ればいいのに。
Re: (スコア:0)
PDF.jsにバグがあった場合、悪意あるPDFを読み込ませることでXSSが可能、という点で攻略可能なポイントが増えます。
おそらく、PDF.jsが動く領域はサンドボックス化されてる、つまり同サーバ上の他のコンテンツとは別ドメインとみなされるんでしょうけど。その場合、「PDF.jsサンドボックス化」のコードのみが、脅威を増やす可能性がある部分、ということになるかな?単純な機能なので、穴はないと信じたい。
Re: (スコア:0)
XSS出来るような状況なら最初から.js読み込ませろや