パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla/Firefoxにダイアログ偽装の弱点」記事へのコメント

  • by g2000 (15772) on 2005年01月14日 15時43分 (#679023)
    >「信頼できないサイトでは安易に『はい』を選んだりしないこと」
    とありますが、「いいえ」を選んでも結局変なものをダウンロード
    してしまうように仕組まれている可能性もあるんじゃないでしょうか?
    • by Anonymous Coward on 2005年01月14日 16時57分 (#679048)
      「拒否しますか?」ってメッセージになってたら、「はい」を選んじゃう罠。
      親コメント
    • 信頼できない場合、とりあえずソース読むしかないですね。
      HTMLとかJavaScript理解できない人はどうしようもないですが。

      となると一般人的にはセキュリティソフトしかなくなりますが、
      こーゆーのは対応してくれるんですかね。
      親コメント
    • モーダルダイアログの上に別のウィンドウを重ねて表示させられることがある、ということなので、このような動作が起こりうることさえ知っていれば、基本的には「何かポップアップウィンドウ (特に、見覚えの無いもの) が出てきたら、とりあえずタイトルバーを掴んで動かしてみる」とすれば良いのではないかと思います。

      # ソース表示は、ロードと同時にモーダルダイアログが出されちゃう場合はダイアログを閉じない限り出来ないので、発生してしまったアクションに対して慎重に対処するよう常に心がけるより他に無いのではないかと思われます。

      --
      むらちより/あい/をこめて。
      親コメント
    • 「○○をダウンロードしますか?」
      [はい][いいえ]

      というダイアログの「○○をダウンロードしますか?」の部分に「この規約に同意しますか?」という内容の別のウインドウを被せる(このときダウンロード確認ダイアログの[はい][いいえ]ボタンは覆わない)ことによってダウンロード確認ダイアログの[はい]を押させる手口なので[いいえ]を選べばダウンロードはされません。
      たれこみにある日経IT Proの記事 [nikkeibp.co.jp]にスクリーンショットがあります。
      親コメント
    • >「信頼できないサイトでは安易に『はい』を選んだりしないこと」 とありますが、「いいえ」を選んでも結局変なものをダウンロード してしまうように仕組まれている可能性もあるんじゃないでしょうか?

      おっしゃるとおりです。日経ITProの方では「対策は,信頼できないサイトでは,表示されたダイアログのボタンを押さないことなど」となっていました。タレコミ文のようにしましたのは、Secuniaの方の「Do not take positive actions on dialogs from untrusted sources.」に引きずられたためです。すみません。

      # けど、モーダルダイアログだったら何かボタンを
      # 押さないとどうしようもないと思うんだけど、
      # どうしろというんだろう>日経ITPro

      親コメント
      • 重ねて表示されるだけなので、本当は何のダイアログなのかさえ気付くことができれば、どのボタンを押すべきなのかはユーザーにも判別できるはずです。また、ダイアログそのものを書き換えて偽装できるというものではないようなので、「いいえ」(実際には「OK」/「キャンセル」で「キャンセル」じゃないかな?) を押すとダウンロードが開始する、というギミックにはなりえないのではないかと思います。

        # 案外、Windows XP のような丸っこいウィンドウだったら引っかかりにくいのかもしれません。

        Firefox が、(それこそ、JavaScript によって明示的に作成されたダイアログを除いて) ファイルのダウンロードやその他の危険な操作を要求するダイアログを、「いいえ」や「キャンセル」を押すことによって実行させるように表示するシチュエーションがあるかどうかは、把握しておりません。

        今回のケースは、このような動作が起こりうるということを知らない人に対しては脅威になりうると思うので、まずは Mozilla 側が積極的に情報を広めるべきだと思います。

        # つか、他のブラウザでは絶対に起こりえない現象なの? これって。

        --
        むらちより/あい/をこめて。
        親コメント
      • >#押さないとどうしようもないと思うんだけど
        そのままMozillaをKILLしてしまえという事かと。
        --
        gy0
        親コメント
      • 右上のクローズボタンがあります。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...