アカウント名:
パスワード:
ブラウザーと合体したら余計アップデートの回数増えちゃうじゃないですかー!Mac OS Xの場合、FF再起動が必要なんでありがたくない。
もしこのPDFビューアーを攻略可能なら、PDFを使わずともHTMLとJavaScriptだけで同様に攻略可能。つまりブラウザそのものに脆弱性があったということにほかならない。だからこのPDFビューアーが新たに脅威を追加することはない。そのための純粋JavaScript実装。OSそのものをクラッシュさせることができるなら、それはアプリではなくドライバのバグであるというのと同様の話。
PDF.jsにバグがあった場合、悪意あるPDFを読み込ませることでXSSが可能、という点で攻略可能なポイントが増えます。
おそらく、PDF.jsが動く領域はサンドボックス化されてる、つまり同サーバ上の他のコンテンツとは別ドメインとみなされるんでしょうけど。その場合、「PDF.jsサンドボックス化」のコードのみが、脅威を増やす可能性がある部分、ということになるかな?単純な機能なので、穴はないと信じたい。
XSS出来るような状況なら最初から.js読み込ませろや
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
いままでPDFビューワの脆弱性って結構あったけど、 (スコア:0)
ブラウザーと合体したら余計アップデートの回数増えちゃうじゃないですかー!
Mac OS Xの場合、FF再起動が必要なんでありがたくない。
Re: (スコア:1)
もしこのPDFビューアーを攻略可能なら、PDFを使わずともHTMLとJavaScriptだけで同様に攻略可能。つまりブラウザそのものに脆弱性があったということにほかならない。だからこのPDFビューアーが新たに脅威を追加することはない。そのための純粋JavaScript実装。
OSそのものをクラッシュさせることができるなら、それはアプリではなくドライバのバグであるというのと同様の話。
Re: (スコア:0)
PDF.jsにバグがあった場合、悪意あるPDFを読み込ませることでXSSが可能、という点で攻略可能なポイントが増えます。
おそらく、PDF.jsが動く領域はサンドボックス化されてる、つまり同サーバ上の他のコンテンツとは別ドメインとみなされるんでしょうけど。その場合、「PDF.jsサンドボックス化」のコードのみが、脅威を増やす可能性がある部分、ということになるかな?単純な機能なので、穴はないと信じたい。
Re:いままでPDFビューワの脆弱性って結構あったけど、 (スコア:0)
XSS出来るような状況なら最初から.js読み込ませろや