パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Internet Explorerのアドレスバーに入力した内容をWebページが読み取れるバグ」記事へのコメント

  • by Anonymous Coward on 2017年10月01日 12時21分 (#3288748)

    攻撃者のWebページを表示した状態でアドレスバーからWeb検索を実行すると、検索語句を含むサーチエンジンのURLを取得可能となる。

    例えばAmazonがこの脆弱性を利用していたと仮定すれば、おまえらが何かの商品ページを見て、すぐにAmazon外でどこか最安値がないか調べたのが尼にバレるってこった
    どこぞのオタク系サイトがこの脆弱性を利用していたなら、フィギュアやら何やら見た次の瞬間にエロ本やら何やら検索したのが、そのオタク系サイトにバレるってわけだ
    さらっと書いてあるけど中々致命的なバグだなこれ

    てかこれMicrosoftがユーザの嗜好とか収集するために、元々搭載されてる機能なんじゃねーの?
    それが実際には、Microsoftだけでなく任意の第三者からも利用可能な状態になっていたと、そういうことなんじゃね?
    Windows 10とかに搭載されてる収集系の機能なんかも、その内こうやって容易く取り出せるような脆弱性が見つかったりしそう

    • by Anonymous Coward on 2017年10月01日 12時26分 (#3288749)

      マイクロソフトが仕込んでるなら、別に穴を空ける必要ないんだよ。ブラウザ自体は特権の内側にいるんだから。

      他のサイトはわからんが、これからは突いてくるかもね。

      親コメント
    • by Anonymous Coward on 2017年10月01日 17時28分 (#3288862)

      検索語句は既にGoogleに漏れてますけど、それは良いの?
      WEB Trackingとか知ってると思うけど、Amazonにしたって、遷移先のページにAmazonの広告があれば、普通に漏れてますけどそれは良いの?
      検索候補を有効にして文字を入力したら、その瞬間に漏れちゃってますけど。
      そもそも、そんな心配してたらrefererヘッダなんて発狂ものですね。

      この問題ってのは、そういう事じゃ無くて、プライベートなURLが漏れるって事に、危険性があるんじゃないですか?
      例えばブラウザが違うけれども、Firefoxのスクリーンショットクラウド機能みたいなのは、URLが漏れない事が前提になってますが、そういったセキュリティ的にやばいサイトと組み合わさると、気付かないうちに漏洩が起こるかも知れないって事ですね。

      まぁ、今さらIEをアントラステッドなサイトに使っている人は少数でしょうが、ブラウザの使い分けは大事って事ですね。

      > Microsoftがユーザの嗜好とか収集するために、元々搭載されてる機能なんじゃねーの?
      今さら過ぎて、その無知さが怖いくらいなんだけど、その機能既に別途搭載されてるから。
      冷静に考えれば、Microsoftがよそのサイトに、そんな情報をくれてやる意味が無いって分かるでしょ?

      親コメント
      • by Anonymous Coward

        遷移先が遷移先の管轄の範囲内で情報をよそに渡すって問題と、
        遷移元が管轄の範囲外の情報を中抜きするって問題は全く違う。

        リファラだって遷移元から遷移先へのリンクが無いと原則飛ばない。

        下衆の勘繰りがピンぼけしてんのはそのとおりだろうけど、あんたの擁護もピンぼけしてるぞ。

    • Google Chromeも、Apple Safariもアカウントで既読ページの同期が行われているからMicrosoftを疑うのはいまさらだよ。

      親コメント
    • >さらっと書いてあるけど中々致命的なバグだなこれ

      いつものMS仕様だと思えば腹も立たない。

      親コメント
    • by Anonymous Coward

      > 中々致命的なバグだなこれ
      何を検索したかがバレるのは命に関わる事態なのだろうか?いったい何を検索しているのだろう…。
      開発者の首が飛ぶ的な意味で致命的というなら分からないでもない。

      • by Anonymous Coward

        格闘ゲームの必殺技が、必ず殺せる技であることは稀である。
        つまりはそういうこと。

        まあIEだし、昔のセキュリティ軽視時代の名残じゃないのかな。
        昔はクリップボード傍受機能がついていたし。
        IEの素敵なクリップボード傍受機能 [srad.jp]
        いまは警告が出るみたい。

      • by Anonymous Coward
        辞書を引こう
    • by Anonymous Coward

      エロ本だのフィギュアだの頑なに隠すもんでもないだろ。
      つうか自分の趣味くらい堂々とやれよ。

      • by Anonymous Coward

        ロリ・触手・凌辱ものとか、おおっぴらにしてたら社会的にやばいジャンルって存在するんですよ

        • by Anonymous Coward

          触手はいいだろ。
          一緒にすんなよ。

    • by Anonymous Coward

      今時のウェブブラウザはアドレスバーに入力された文字列に該当するウェブページ(URIとかページタイトルとか)をブックマークと履歴からさがしてきて表示するようになってるだろ?そしてその機能は文字が追加ないし削除されるたびに稼働するだろ?と言うことはウェブブラウザの開発元にアドレスバーに入力された文字列を逐一送信するかどうかとは関係なくアドレスバーの監視は行われるのだよ。
      まあウェブアプリだとURIにユーザー名が入ってたりするのでスパムメール用のメーリングリストを構築するときなんかには使える穴ですね。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...