アカウント名:
パスワード:
という報告がもじら組のBBS [mozilla.gr.jp]にあがっています。
当該書き込みは↓を参照。
Mozilla 1.6 と Mozilla Firebird Nightly Build (2004011515) で実験してみました。
いずれの場合も JavaScript 版でなければ、ステータスバーの表示偽装は見破ることができるようです。 ただし、こじまさんによるデモページ [ryukoku.ac.jp]で紹介されているような Javascript 版の場合は、
となり、デモリンクをクリックするまで、偽装を見破ることはできませんでした。 (もちろん、当該デモは Javascript が無効にされている環境では意味がありません。 a 要素の href 属性に指定されている「http://www.citibank.com/」に飛ぶだけです。)
もっとも、 Mozilla / Mozilla Firebird の場合は、偽装されるのはステータスバーだけなので、飛ばされた先でアドレスバーの表示(やページのプロパティ)を確認すれば、偽装されたページに飛ばされたことに気づくことは可能です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
テータスバー偽装の脆弱性は修正されました (スコア:1)
このトピックで触れられている偽装が今回のバージョン1.6では修正されています。
Linux版では自分で確認(TLD10にtar.gzからインストール)。またW2k版で大丈夫だった
という報告がもじら組のBBS [mozilla.gr.jp]にあがっています。
#IEのPatchもMicrosoftにてテスト中ということで、リリースが待たれる今日このごろ。
Re:ステータスバー偽装の脆弱性は修正されました (スコア:0)
当該書き込みは↓を参照。
Re:ステータスバー偽装の脆弱性は修正されました (スコア:1, 興味深い)
Mozilla 1.6 と Mozilla Firebird Nightly Build (2004011515) で実験してみました。
いずれの場合も JavaScript 版でなければ、ステータスバーの表示偽装は見破ることができるようです。 ただし、こじまさんによるデモページ [ryukoku.ac.jp]で紹介されているような Javascript 版の場合は、
となり、デモリンクをクリックするまで、偽装を見破ることはできませんでした。 (もちろん、当該デモは Javascript が無効にされている環境では意味がありません。 a 要素の href 属性に指定されている「http://www.citibank.com/」に飛ぶだけです。)
もっとも、 Mozilla / Mozilla Firebird の場合は、偽装されるのはステータスバーだけなので、飛ばされた先でアドレスバーの表示(やページのプロパティ)を確認すれば、偽装されたページに飛ばされたことに気づくことは可能です。