パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla/Firefoxにダイアログ偽装の弱点」記事へのコメント

  • >「信頼できないサイトでは安易に『はい』を選んだりしないこと」
    とありますが、「いいえ」を選んでも結局変なものをダウンロード
    してしまうように仕組まれている可能性もあるんじゃないでしょうか?
    • >「信頼できないサイトでは安易に『はい』を選んだりしないこと」 とありますが、「いいえ」を選んでも結局変なものをダウンロード してしまうように仕組まれている可能性もあるんじゃないでしょうか?

      おっしゃるとおりです。日経ITProの方では「対策は,信頼できないサイトでは,表示されたダイアログのボタンを押さないことなど」となっていました。タレコミ文のようにしましたのは、Secuniaの方の「Do not take positive actions on dialogs from untrusted sources.」に引きずられたためです。すみません。

      # けど、モーダルダイアログだったら何かボタンを
      # 押さないとどうしようもないと思うんだけど、
      # どうしろというんだろう>日経ITPro

      親コメント
      • 重ねて表示されるだけなので、本当は何のダイアログなのかさえ気付くことができれば、どのボタンを押すべきなのかはユーザーにも判別できるはずです。また、ダイアログそのものを書き換えて偽装できるというものではないようなので、「いいえ」(実際には「OK」/「キャンセル」で「キャンセル」じゃないかな?) を押すとダウンロードが開始する、というギミックにはなりえないのではないかと思います。

        # 案外、Windows XP のような丸っこいウィンドウだったら引っかかりにくいのかもしれません。

        Firefox が、(それこそ、JavaScript によって明示的に作成されたダイアログを除いて) ファイルのダウンロードやその他の危険な操作を要求するダイアログを、「いいえ」や「キャンセル」を押すことによって実行させるように表示するシチュエーションがあるかどうかは、把握しておりません。

        今回のケースは、このような動作が起こりうるということを知らない人に対しては脅威になりうると思うので、まずは Mozilla 側が積極的に情報を広めるべきだと思います。

        # つか、他のブラウザでは絶対に起こりえない現象なの? これって。

        --
        むらちより/あい/をこめて。
        親コメント
      • >#押さないとどうしようもないと思うんだけど
        そのままMozillaをKILLしてしまえという事かと。
        --
        gy0
        親コメント
      • 右上のクローズボタンがあります。

アレゲは一日にしてならず -- アレゲ見習い

処理中...