Re:リンクのフィッシング (#845827) | SMBC「簡単！やさしいセキュリティ教室」

「SMBC「簡単！やさしいセキュリティ教室」」記事へのコメント

記事ページを表示すべてのコメント取得

検索111コメント Log In/Create an Account

リンクのフィッシング (スコア:5, 参考になる)

by Anonymous Coward

問題3 [smbc.co.jp]の(1)は、文面に表示してあるURLとリンク先が違う、というものです。HTMLのソースはおそらくこういう風になっていると思います。
<a href="http://xxx/123.123.123/">https://direct.smbc.co.jp/</a>

数年前と違って、普通のメーラーはjavascriptがデフォルトでオフになっていますから、ここはこれでいいのです。

しかし、これがブラウザに表示されたhtmlなら、もう少し注意が必要です。

昔よくあったのが、直接ステータスバーを詐称するものです。
<a href="http://xxx/123.123.123/" onmouseover="window.status='https://direct.smbc.co.jp'">...</a>
- Re:リンクのフィッシング (スコア:0)
  
  by Anonymous Coward
  
  リンクの書き換えを禁止する方法ってないのでしょうか…
  FirefoxだとJavaScriptによる画像の変更やステータスバーの書き換えを禁止できますよね。
  - Re:リンクのフィッシング (スコア:2, 興味深い)
    
    by Anonymous Coward
    
    自己レス
    
    http://www.mozilla-japan.org/projects/security/components/ConfigPolicy... [mozilla-japan.org]
    ここを参考にしてみたのですが、以下のような記述で大丈夫でしょうか？
    識者の方、アドバイスをいただければありがたいです。
    
    user_pref("capability.policy.default.HTMLAnchorElement.href", "noAccess");
    user_pref("capability.policy.default.HTMLAnchorElement.attributes", "noAccess");
    user_pref("capability.policy.default.HTMLAnchorElement.getAttribute", "noAccess");
    user_pref("capability.poli
    - Re:リンクのフィッシング (スコア:0)
      
      by Anonymous Coward on 2005年12月10日 1時00分 (#845827)
      
      user_pref("capability.policy.default.HTMLAnchorElement.href", "noAccess");
      user_pref("capability.policy.default.HTMLAnchorElement.attributes", "noAccess");
      user_pref("capability.policy.default.HTMLAnchorElement.getAttribute", "noAccess");
      user_pref("capability.policy.default.HTMLAnchorElement.getAttributeNS", "noAccess");
      
      もしよろしければ、これをどこに書けばいいのか、教えてもらえないでしょうか? 挙げられているサイトからは、user.js に書けば良さそうなのですが、それをどこ置けばいいのか、判らなかったもので。
      
      シェア
      
      親コメント
      - Re:リンクのフィッシング (スコア:0)
        
        by Anonymous Coward
        
        prefs.jsと同じ場所です。
        でもその記述で良いかどうか自信がない（苦笑
        
        Re:リンクのフィッシング (スコア:0)
        
        by Anonymous Coward
        
        #845827のACです。
        ありがとうございます。
        まだ見てもらっていて助かりました。
        
        >でもその記述で良いかどうか自信がない（苦笑
        
        大丈夫そうには見えますけど、話題が話題だけに、
        識者からフォローが入ると助かりますね。
        
        Re:リンクのフィッシング (スコア:0)
        
        by Anonymous Coward
        
        えと、getAttribute(NS)?を弾くのはあまり意味がありません。やるんなら、setAttriubteの方ですね。
        
        ただ、clickイベントを握っていれば、hrefをいじらずに移動する事もできるわけですから、根本的な対策にはならないですね。hrefだけをいじる方がばれにくいという話なんですけど。対Googleを考えているなら、それで十分ですが。
        
        Re:リンクのフィッシング (スコア:0)
        
        by Anonymous Coward
        
        >えと、getAttribute(NS)?を弾くのはあまり意味がありません。やるんなら、setAttriubteの方ですね。
        
        こうですか?
        =======この下=======
        user_pref("capability.policy.default.HTMLAnchorElement.href", "noAccess");
        user_pref("capability.policy.default.HTMLAnchorElement.attributes", "noAccess");
        user_pref("capability.policy.default.HTMLAnchorElement.getAttribute", "noAccess");
        user_pref("capability.policy.default.HTMLAnchorElement.getAttributeNS", "noAccess");
        user_pref("capability.policy.default.HTMLAnchorElement.setAttribute"

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

SMBC「簡単！やさしいセキュリティ教室」 More ログイン

「SMBC「簡単！やさしいセキュリティ教室」」記事へのコメント

リンクのフィッシング (スコア:5, 参考になる)

Re:リンクのフィッシング (スコア:0)

Re:リンクのフィッシング (スコア:2, 興味深い)

Re:リンクのフィッシング (スコア:0)

Re:リンクのフィッシング (スコア:0)

Re:リンクのフィッシング (スコア:0)

Re:リンクのフィッシング (スコア:0)

Re:リンクのフィッシング (スコア:0)

スラド