アカウント名:
パスワード:
「Webバグ」の事を「バグ」と書いてるよね。
ところがこの仕組みを使って、特定のサイトのURLを隠しリンク(画面上には表示されない)としてブログに埋め込んでおき、表示色を取得するプログラムを仕掛けておけば、訪れた人がそのサイトに行ったことがあるかないかを、ブログの開設者は密かに知ることができてしまう。たとえば、アダルトサイトのURLを埋め込んでおけば、訪問者が過去にそのアダルトサイトを利用したかどうかがわかってしまうことになる(図 1)。 このようなことができてしまうのは、一部のWebブラウザーに古くから存在する欠陥が原因である。WebブラウザーのFirefoxでは、2002年5月に「バグ番号:147777」として報告されているバグであり、今も解決方法が議論されているものの、HTMLやスタイル
これは「欠陥」「バグ」ではなく、Webバグに絡む「仕様不良」だって話。 この場合は「隠しリンク」がブラウザ上でvisitedを判定させる事、 それ自体がWebバグとして働く(概念的な意味で)。
記事中にある様に「表示色を取得するプログラムを仕掛けて」おかなくても、 visitedにビーコンとなるもの(って言うかWebバグだが)を仕込めばvisitedの判定を拾える。
Bugzillaで議論されてるからバグって考えだとしたら短絡的じゃね?
Bugzillaでvulnerabilityとして扱われているんだからバグそのもの。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
よく調べてるなぁ (スコア:0)
#こういう姑息なことにエネルギー使ってないでもうちょっとでかいこ(のえのえぷー
Re:よく調べてるなぁ (スコア:0)
「その場しのぎ」と「時間稼ぎ」は違う (スコア:0)
「姑息」を「時間稼ぎ」の意味で説明してるヒトも居るんですか?
> 根本的に解決するのではなく、一時の間に合わせにする・こと(さま)。
> 三省堂「大辞林 第二版」より
今回の様にユーザの意図する範囲を超えて閲覧履歴を取得する事は、
仕組み的には仕様通りではあるが意図通りではない、仕様不良の結果であり、
大っぴらになれば問題視され、仕組みの側でも対策が図られるのは目に見えています。
(同じ問題はFlash Player以外にもあり、一部では以前から問題視されていましたが、)
なので、「根本的に解決するのではなく、対策される
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re:「その場しのぎ」と「時間稼ぎ」は違う (スコア:1)
IEでは仕様かも。
It's not who is right, it's who is left.
Re: (スコア:0)
「ユーザの意図・覚悟する範囲を超えてvisitedの判定を拾われてしまう事」が「脆弱性」なんだから、
visitedの判定を拾う具体的な方法の違いなんてどーでもよくね?
拾ってる部分は脆弱性とは関係無いよ?
ドリコム事例で上述の「脆弱性」以外に穴が見つかっているなら、教えてくれ。
それとも、単に類型化される事が気に入らない?
> Bugzillaでvulnerabilityとして扱われているんだからバグそのもの。
「vulnerability」は「脆弱性」の意で、
「欠陥」(バグ)だけでなく仕様不良に起因するもの含まれる。
ファミコン時代の小学生じゃないんだから何でもかんでもバグ言うな。