パスワードを忘れた? アカウント作成

Firefox 102、追跡用クエリパラメーターの除去に対応」記事へのコメント

  • 特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。
    ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。
    HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。

    そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果

    • 当然対策済み (スコア:4, 参考になる)

      by Anonymous Coward on 2022年07月03日 20時32分 (#4281938)

      We will only strip the query string if it is redirecting to a third-party URI in the top level.

      https://github.com/mozilla/gecko-dev/blob/388ea3d22361b97c7f81d02757a1... [github.com]
      ということでご指摘の
      example.com/?lang=ja -> example.com -> example.com/?lang=ja -> exmaple.com -> 最初に戻る
      みたいなループは発生しません。

      さらに言うと削除されるパラメーターはdenylist方式でトラッキング用のもののみが削除されるようになっているのでlangみたいな一般的なパラメーターはサードパーティーへのリダイレクトであっても削除されません。

      # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね

      • by Anonymous Coward

        > # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね

        最近で言うとこれ [srad.jp]のことかな
        最近と言わず結構前から張り付いてる気がしますね
        逆張りと重箱の隅突きが癖になってるんでしょうね

        • by Anonymous Coward

          最近「ソーシャルスキル未発達で反抗期を今更やってるおっさん」って言われる輩だな
          とにかく負けが見えてても逆を張る「反○○」のラベルが貰えるものは何でも張る奴ら

          本来マイナスモデとかシャドウバンってこういう害悪のためにあるんだけどな
          書き込むだけで満たされ、否定されると余計に快感を覚えて学習しちゃうから

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...