Re:企業側の対策として (#527700) | そのサイトは本物? 偽アドレスバーを使った新手のPhishing詐欺

「そのサイトは本物? 偽アドレスバーを使った新手のPhishing詐欺」記事へのコメント

記事ページを表示すべてのコメント取得

検索68コメント Log In/Create an Account

企業側の対策として (スコア:3, すばらしい洞察)

by yukitan (21574)

JavaScriptを使わないwebサイト構築を考えて欲しいと思うのはワタシだけでしょうか。
むやみにFLASHを使ったりJavaScriptやActiveScriptを要求したり……。JavaScriptを無効にしていれば今回の偽装アドレスバーは表示されないようですが、本当のその企業や銀行などのwebサイトがJavaScriptを要求するようでは、初心者に「JavaScriptというものをこ
- Re:企業側の対策として (スコア:0)
  
  by Anonymous Coward on 2004年04月07日 9時19分 (#527700)
  
  Web開発側から、というと大げさではありますが、JavaScriptは
  便利/有用なんですよ。いちいちサーバにアクセスせずとも処理が
  可能ではありますし。
  
  　そもそも、JavaScriptは原因ではなく、単なる手段の一つで
  しょう？このような詐欺が増えているからといって、ブラウザ上
  で動くスクリプトに「No」というのはいかがなものでしょ。
  
  # アカウントがないのでAC
  
  シェア
  
  親コメント
  - Re:企業側の対策として (スコア:3, すばらしい洞察)
    
    by Anonymous Coward on 2004年04月07日 10時21分 (#527736)
    
    Web開発側から、というと大げさではありますが、JavaScriptは
    便利/有用なんですよ。いちいちサーバにアクセスせずとも処理が
    可能ではありますし。
    まず、それは本当に必要なものですか？無駄な装飾の為に使っていませんか？Flash や HTML にある機能で代用効きませんか？本来サーバ側でサニティチェックすべきなのを JavaScript でやっていてセキュリティホール産み出してませんか？
    
    あるいは、ユーザ環境に影響を及ぼしたり、アクセシビリティを悪くしていませんか？ウィンドウサイズを勝手に変更されたり、アドレスバーをいじられたり、通常使えるはずの機能を禁止されたりするようなもの、音声ブラウジングをしている人に不便な使い方などはユーザーとしてはやめてほしいと思うかもしれませんね。
    
    そういった駄目な使い方をしていない、適切な使われ方であれば JavaScript も有用でしょうね。
    
    シェア
    
    親コメント
    - Re:企業側の対策として (スコア:1)
      
      by kamira (6480) on 2004年04月07日 13時13分 (#527839) ホームページ
      
      自分が作ったサイトでは、規約の表示に confirm()を使いました。
      いるんですよ、規約書いても「読んでない」とかいうバカが。
      なので、confirm()で強制表示にさせて [ok]押さないと進めないようにしています。
      
      perlでファイル送信を行う時って、次の頁を作れなかったんですよ。
      (ファイル送信選択画面 -> 規約 -> 送信開始ができない)
      単純な入力確認等ならjavascriptなんて使わなくてもいいんですが、
      使わざるを得ない時もあるんです。
      
      シェア
      
      親コメント
      - Re:企業側の対策として (スコア:0)
        
        by Anonymous Coward
        
        できないのはアンタの腕が悪いから。perlのせいにするなよ。
        Cookieにステートでも埋めとけ。
        
        Re:企業側の対策として (スコア:1)
        
        by kamira (6480) on 2004年04月08日 19時38分 (#528594) ホームページ
        
        腕が悪いのは認めるから、教えてくれ。
        Cookieにステート埋め込んだら、input TYPE=file の情報を数セッション先に
        引き継げるの？
        
        ステート埋め込みってID・PASSの後、ログイン認証されたかどうかの話でしょ？
        apache::sessionにしても、セッションIDを発行して、ログイン管理を行うだよね？
        俺が知りたいのは、input TYPE=fileをsubmitした後に別ページに飛ばせて、
        そこで「了承」してくれたら input TYPE=file を実行するというプロセス。
        これがステート埋め込みで実現できるならそっちのがスマートだし
        是非覚えたい。
        
        了承をそんな位置にするなとかはナシな。
        
        Reffererチェックにしてもそうだけど、
        リファラチェックしたらinput TYPE=fileの内容を
        複数回後のリクエストに引き継げるのかな？
        
        つか、ありえない。
        ステートもリファラもあくまでログイン管理の話だしょ？
        
        シェア
        
        親コメント
        
        Re:企業側の対策として (スコア:1)
        
        by 0-9a-zA-Z_.+!*'(),-\ (6182) on 2004年04月09日 5時25分 (#528778)
        
        > ファイル送信選択画面 -> 規約 -> 送信開始
        
        この順番でないといけないんでしょうか？
        規約 -> ファイル送信選択画面 -> 送信開始
        じゃだめ？
        
        シェア
        
        親コメント
        
        Re:企業側の対策として (スコア:1)
        
        by 0-9a-zA-Z_.+!*'(),-\ (6182) on 2004年04月09日 7時05分 (#528787)
        
        ごめん。よく読んでなかった。
        
        > 了承をそんな位置にするなとかはナシな。
        ということですね。
        
        INPUT type=FILEはいじれないので、クッキーを使ってもいいのであれば、
        １．ファイル送信ボタンの他に規約確認リンクを用意し、これを読まないと送信できないと表示しておく。
        ２．規約確認リンクで別ウィンドウを表示し、確認(サーバに通知)させる。
        ３．確認済み判定用のクッキーを返すなどした後、別ウィンドウを閉じさせる。
        ４．送信を受け付ける。
        (もちろん、確認済みでないときは、受け付けない)
        
        これで一応JavaScriptは必要ない。
        まぁでも、送りつけてこられるのは拒否できないから、それが嫌だって言うんなら、スクリプトで制御したくなりますね。
        
        シェア
        
        親コメント
        
        Re:企業側の対策として (スコア:0)
        
        by Anonymous Coward
        
        Refererチェックだけでもよさげ。
        
        ＃偽装までして入るサイトとも思えん。
    - Re:企業側の対策として (スコア:1, 興味深い)
      
      by Anonymous Coward on 2004年04月07日 13時22分 (#527843)
      
      いちいち画面が書き換わるのが鬱陶しいから
      極力、クライアント側(JavaScript)で
      チェックしてくれって言う要望はよくききます。
      郵便番号辞書を全件裏で持てとか…
      #無茶だって
      顧客(サイトを公開しているメーカさん)のわがままを聞こうとすると
      JavaScriptだのFlashだのに依存した作りになってゆきますね。
      見栄えさえよければオッケーみたいなところもありますし。
      
      シェア
      
      親コメント
  - Re:企業側の対策として (スコア:1, すばらしい洞察)
    
    by Anonymous Coward on 2004年04月07日 10時14分 (#527732)
    
    有用なのは認めるが、使われ方が安易過ぎるって気もする。
    “戻る”と書かれたアンカーやボタンが"goback()"使ってたりすると、「をいをい」とか思うぞ。
    ぐぐって見つけたページが面白いから上の階層から順に見たいと思っても、いちいち手でアドレス入れなきゃならん。
    
    シェア
    
    親コメント
  - 別の意味でNo (スコア:1)
    
    by misuzu (7219) on 2004年04月07日 16時16分 (#527927) ホームページ日記
    
    　普段のブラウザは昔(NN2.x時代)からの流れでネスケ7.x使ってますが、JavaScriptが動くとそれ以降落ち易くなる傾向が強い（最悪の場合即落ち）のでオフにしてます。
    　どうしてもJavaScriptを要求された場合はWindowsならIE、MacならSafariに投げる事で回避してます。
    　JavaScriptの実装がいまいちなネスケ7か、しつこくネスケ使ってる私、どちらかが問題なのですけど…
    
    --
    凛々しく、あほらしく。
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

そのサイトは本物? 偽アドレスバーを使った新手のPhishing詐欺 More ログイン

「そのサイトは本物? 偽アドレスバーを使った新手のPhishing詐欺」記事へのコメント

企業側の対策として (スコア:3, すばらしい洞察)

Re:企業側の対策として (スコア:0)

Re:企業側の対策として (スコア:3, すばらしい洞察)

Re:企業側の対策として (スコア:1)

Re:企業側の対策として (スコア:0)

Re:企業側の対策として (スコア:1)

Re:企業側の対策として (スコア:1)

Re:企業側の対策として (スコア:1)

Re:企業側の対策として (スコア:0)

Re:企業側の対策として (スコア:1, 興味深い)

Re:企業側の対策として (スコア:1, すばらしい洞察)

別の意味でNo (スコア:1)

スラド