アカウント名:
パスワード:
<a href="http://xxx/123.123.123/">https://direct.smbc.co.jp/</a>
数年前と違って、普通のメーラーはjavascriptがデフォルトでオフになっていますから、ここはこれでいいのです。 しかし、これがブラウザに表示されたhtmlなら、もう少し注意が必要です。 昔よくあったのが、直接ステータスバーを詐称するものです。
<a href="http://xxx/123.123.123/" onmouseover="window.status='https://direct.smbc.co.jp'">...</a>
user_pref("capability.policy.default.HTMLAnchorElement.href", "noAccess");user_pref("capability.policy.default.HTMLAnchorElement.attributes", "noAccess");user_pref("capability.policy.default.HTMLAnchorElement.getAttribute", "noAccess");user_pref("capability.policy.default.HTMLAnchorElement.getAttributeNS", "noAccess");
もしよろしければ、これをどこに書けばいいのか、教えてもらえないでしょうか? 挙げられているサイトからは、user.js に書けば良さそうなのですが、それをどこ置けばいいのか、判らなかったもので。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
リンクのフィッシング (スコア:5, 参考になる)
数年前と違って、普通のメーラーはjavascriptがデフォルトでオフになっていますから、ここはこれでいいのです。
しかし、これがブラウザに表示されたhtmlなら、もう少し注意が必要です。
昔よくあったのが、直接ステータスバーを詐称するものです。
Re:リンクのフィッシング (スコア:0)
FirefoxだとJavaScriptによる画像の変更やステータスバーの書き換えを禁止できますよね。
Re:リンクのフィッシング (スコア:2, 興味深い)
http://www.mozilla-japan.org/projects/security/components/ConfigPolicy... [mozilla-japan.org]
ここを参考にしてみたのですが、以下のような記述で大丈夫でしょうか?
識者の方、アドバイスをいただければありがたいです。
user_pref("capability.policy.default.HTMLAnchorElement.href", "noAccess");
user_pref("capability.policy.default.HTMLAnchorElement.attributes", "noAccess");
user_pref("capability.policy.default.HTMLAnchorElement.getAttribute", "noAccess");
user_pref("capability.poli
Re:リンクのフィッシング (スコア:0)
もしよろしければ、これをどこに書けばいいのか、教えてもらえないでしょうか? 挙げられているサイトからは、user.js に書けば良さそうなのですが、それをどこ置けばいいのか、判らなかったもので。
Re:リンクのフィッシング (スコア:0)
でもその記述で良いかどうか自信がない(苦笑
Re:リンクのフィッシング (スコア:0)
ありがとうございます。
まだ見てもらっていて助かりました。
>でもその記述で良いかどうか自信がない(苦笑
大丈夫そうには見えますけど、話題が話題だけに、
識者からフォローが入ると助かりますね。
Re:リンクのフィッシング (スコア:0)
ただ、clickイベントを握っていれば、hrefをいじらずに移動する事もできるわけですから、根本的な対策にはならないですね。hrefだけをいじる方がばれにくいという話なんですけど。対Googleを考えているなら、それで十分ですが。
Re:リンクのフィッシング (スコア:0)
こうですか?
=======この下=======
user_pref("capability.policy.default.HTMLAnchorElement.href", "noAccess");
user_pref("capability.policy.default.HTMLAnchorElement.attributes", "noAccess");
user_pref("capability.policy.default.HTMLAnchorElement.getAttribute", "noAccess");
user_pref("capability.policy.default.HTMLAnchorElement.getAttributeNS", "noAccess");
user_pref("capability.policy.default.HTMLAnchorElement.setAttribute", "noAccess");
user_pref("capability.policy.default.HTMLAnchorElement.setAttributeNS", "noAccess");
=======この上=======
これをprefs.jsと同じ場所にuser.jsという名前で置く、と。
>ただ、clickイベントを握っていれば、hrefをいじらずに移動する事もできるわけですから、根本的な対策にはならないですね。hrefだけをいじる方がばれにくいという話なんですけど。対Googleを考えているなら、それで十分ですが。
ステータスバーに出ているのと違う場所に飛ばされるのが問題、という観点で書いているので、こうなっているものと思われます。
clickイベントもスクリプトで変更できるということですか?
もしそうなら、設定ファイルでそれを逃れる方法はありますか? あればサンプルで構わないので、教えていただけるとありがたいです。
(わたしは見よう見まねで書いているのでuser.jsでのclickイベントの拾い方がわかりません orz)