アカウント名:
パスワード:
これどうやってんの? 某セキュリティ専門家が発見したWindows 10でブラウザから電卓を起動 [togetter.com]する方法と同じ原理?
既定のアプリで停止不可なプロトコルハンドラがありますな一部別アプリに変更可能ではあるので「ストアアプリ」にある「無害なアプリ」に関連付けを張り替えることはできますね # この仕組みで無害なアプリなんてあるわけねぇ なのでGroupPlicyあたりで止めますかね
ブラウザが対応していないスキーマ(http:とかmailto:とか)をOSに投げて関連付けられたアプリで開くって仕組みで、コレ自体はXP以前からある機能だし、Androidもこの機能を持っている(intent:等)。ブラウザが対応しないスキーマをOS経由で対応するかどうかはブラウザ次第。
建前として悪意あるサイトから指定のURIが開いても脆弱性につながらないよう各アプリが対処する必要はある。mailto:でメーラが開いても勝手にメールを送ったりはしないってのとか、httpで投稿用URLに飛ばされてもCSRFされないようにする必要があるのと同じこと。
http:に対応していないブラウザ is 何ちなみにChromeとFirefoxはちゃんと警告を出すが、Edgeは黙って開く。
>http:に対応していないブラウザ is 何
みんな大好き(だけど高い)SI Object Browserとかじゃないかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
「Go now」をクリックするとMicrosoft Edgeを起動しようとする (スコア:0)
これどうやってんの? 某セキュリティ専門家が発見したWindows 10でブラウザから電卓を起動 [togetter.com]する方法と同じ原理?
Re: (スコア:1)
既定のアプリで停止不可なプロトコルハンドラがありますな
一部別アプリに変更可能ではあるので
「ストアアプリ」にある「無害なアプリ」に
関連付けを張り替えることはできますね
# この仕組みで無害なアプリなんてあるわけねぇ なのでGroupPlicyあたりで止めますかね
Re: (スコア:1)
ブラウザが対応していないスキーマ(http:とかmailto:とか)をOSに投げて関連付けられたアプリで開くって仕組みで、
コレ自体はXP以前からある機能だし、Androidもこの機能を持っている(intent:等)。
ブラウザが対応しないスキーマをOS経由で対応するかどうかはブラウザ次第。
建前として悪意あるサイトから指定のURIが開いても脆弱性につながらないよう各アプリが対処する必要はある。
mailto:でメーラが開いても勝手にメールを送ったりはしないってのとか、
httpで投稿用URLに飛ばされてもCSRFされないようにする必要があるのと同じこと。
Re: (スコア:0)
http:に対応していないブラウザ is 何
ちなみにChromeとFirefoxはちゃんと警告を出すが、Edgeは黙って開く。
Re:「Go now」をクリックするとMicrosoft Edgeを起動しようとする (スコア:1)
>http:に対応していないブラウザ is 何
みんな大好き(だけど高い)SI Object Browserとかじゃないかな。