アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
間違ってるぞ (スコア:1)
CNETの記事にはこんなことは書かれていないんですけど。
>攻撃者は、悪質なサイトをユーザーにIEで閲覧させることで、「firefoxurl://」というURLハンドラを利用しながら、ブラウザとウェブ上の特定のリソースとの間でやりとりをさせることが可能になる。
:
>それぞれスタンドアロン製品としては安全だが、一緒になるとそうでなくなる
どう考えてもタレコミの記述は記事と矛盾してる。
Re:間違ってるぞ (スコア:1, 参考になる)
・FirefoxとIEを両方インストールして
・IE(というかエクスプローラ)にFirefox用のハンドラを登録して
・Firefoxを起動していない状態でIEで悪意あるURLを踏む
ことが条件でいいのかな?
# OperaやMac版IEで悪意あるURLを踏んだ場合は不明、と
Re:間違ってるぞ (スコア:0)
そもそも今サポートされているIEはWindowsオンリーなのだから、
「IEをインストールして」という記述は要らないと思う。
>・IE(というかエクスプローラ)にFirefox用のハンドラを登録して
>・Firefoxを起動していない状態でIEで悪意あるURLを踏む
んーと、つまりこれは、IEでfirefoxを独自ハンドラで呼び出して、
いわばreal playerのように使っているという事?
今時ramファイル開いてハンドルを目にする事なんかないから、却って解りにくい…。
要は、Lotus Notes URI Handler Argument Injection Vulnerability [idefense.com]と似た問題ということ