アカウント名:
パスワード:
FireFox なら、アドレスに "about:config" を入力して、以下の値を "true"にするのもフィッシング詐欺対策に良さそうですね。 (本家より)
disable_window_open_feature.location disable_window_open_feature.status disable_window_open_feature.titlebar disable_window_status_change
根本的には、フィッシング詐欺グループの餌食になりやすいサイトのデザインを改善する、という
XSS脆弱性サンプルコードとは具体的に何?
そのXSS脆弱性サンプルコードで Netcraft のツールバーも騙されたの?
なんだか、議論が成立すらしていないって感じですな。
確かに、 asahi.comツールバー [hatena.ne.jp]みたいに、役に立たないどころか入れるとかえってセキュリティーが
情報ありがとうございます。W2KSP4+MS04-044 の FireFox 1.0 で、サンプルコードを試してみました。 → まったく動作しませんでした。「あれ」と思って英語を見ると、「なんだ、こりゃ IE の脆弱性じゃないか。FireFox じゃ動くわけないか」と納得。 (^^;
ええと、DHTML Edit ActiveX control の問題ねぇ。 FireFox は ActiveX に対応していない [nikkeibp.co.jp]のだから関係ないやっていうか、そもそも脆弱性が無いのだから、嘘の URL なんか最初から表示されない。ツールバーなど無くても、です。
> このような状況で機械的にXSS脆弱性をついたフィッシングであることを > 検知することははなはだ難しいと思われます。
ええ、未対策の脆弱性のあるブラウザを使って、なお安全を確保したいというのが無理な要求なんだと思います。元からフィッシングに悪用されやすい弱点のあるブラウザに、対策ツールバーを入れたから大丈夫、とはならないというのは同感です。
それで、Netcraft のフィッシング対抗ツールバーですが、Firefox 版はこれからという事ですが・・・フィッシング詐欺にひっかかりやすい初心者は、Firefox 入れて使おうという人は少ないだろうし、逆に、安全に非常に注意を払って、もっぱら Firefox を使っているような人は、ツールバーなんか無くてもフィッシング詐欺にはひっかからないのでは、という意見も本家の方にありました。
でも、どうしても IE でなければという場合は、対策ツールバーの結果を鵜呑みにはしないとしても、これで検出されて助かる場合もあると思います。アンチウイルスソフトだって、検出できない場合もありますが、それでも無いよりは、ある方が助かりますからね。( ここで「IE を安全に、なんて最初から無理じゃね~の」とか言ってしまうと、ぶちこわしですから) 結局、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
あれば役に立つだろう、万能ではないとしても (スコア:4, 参考になる)
FireFox なら、アドレスに "about:config" を入力して、以下の値を "true"にするのもフィッシング詐欺対策に良さそうですね。 (本家より)
disable_window_open_feature.location
disable_window_open_feature.status
disable_window_open_feature.titlebar
disable_window_status_change
根本的には、フィッシング詐欺グループの餌食になりやすいサイトのデザインを改善する、という
役に立たないものもある (スコア:1, 興味深い)
ヘタに不十分なツールを使うと安心しちゃう分、かえって危険な気もします。
Re:役に立たないものもある (スコア:1)
XSS脆弱性サンプルコードとは具体的に何?
そのXSS脆弱性サンプルコードで Netcraft のツールバーも騙されたの?
なんだか、議論が成立すらしていないって感じですな。
確かに、 asahi.comツールバー [hatena.ne.jp]みたいに、役に立たないどころか入れるとかえってセキュリティーが
役に立たないものもあるかどうかは・・ (スコア:3, 参考になる)
ブラウザ側(IE)のXSS脆弱性を示すTESTページです。
●SecuniaによるIEのXSS脆弱性を示すデモ
http://secunia.com/internet_explorer_cross-site_scripting_vulnerability_test/
>そのXSS脆弱性サンプルコードで Netcraft のツールバーも騙されたの?
あくまで一般論ですが、この手の拡張されたツールバーでブラウザ自身がもつXSS脆弱性をブロックすることをあてにしないほうが良いでしょう。特定のサイトが持つサーバサイドのXSS脆弱性とは切り分けて評価すべきかと。
なお、上記Secuniaのデモでは、正しくPaypalにアクセスしている状況でありながら、表示されたページのコンテンツ内容だけをIEのXSS脆弱性によって差し替えています。このような状況で機械的にXSS脆弱性をついたフィッシングであることを検知することははなはだ難しいと思われます。
こちらの意見も。
http://d.hatena.ne.jp/hoshikuzu/20041217#20041217XSSDEC
http://d.hatena.ne.jp/hoshikuzu/20041219#20041219XSSDEC
| 慈愛こそ慈愛
Re:役に立たないものもあるかどうかは・・ (スコア:1)
情報ありがとうございます。W2KSP4+MS04-044 の FireFox 1.0 で、サンプルコードを試してみました。
→ まったく動作しませんでした。「あれ」と思って英語を見ると、「なんだ、こりゃ IE の脆弱性じゃないか。FireFox じゃ動くわけないか」と納得。 (^^;
ええと、DHTML Edit ActiveX control の問題ねぇ。 FireFox は ActiveX に対応していない [nikkeibp.co.jp]のだから関係ないやっていうか、そもそも脆弱性が無いのだから、嘘の URL なんか最初から表示されない。ツールバーなど無くても、です。
> このような状況で機械的にXSS脆弱性をついたフィッシングであることを
> 検知することははなはだ難しいと思われます。
ええ、未対策の脆弱性のあるブラウザを使って、なお安全を確保したいというのが無理な要求なんだと思います。元からフィッシングに悪用されやすい弱点のあるブラウザに、対策ツールバーを入れたから大丈夫、とはならないというのは同感です。
それで、Netcraft のフィッシング対抗ツールバーですが、Firefox 版はこれからという事ですが・・・フィッシング詐欺にひっかかりやすい初心者は、Firefox 入れて使おうという人は少ないだろうし、逆に、安全に非常に注意を払って、もっぱら Firefox を使っているような人は、ツールバーなんか無くてもフィッシング詐欺にはひっかからないのでは、という意見も本家の方にありました。
でも、どうしても IE でなければという場合は、対策ツールバーの結果を鵜呑みにはしないとしても、これで検出されて助かる場合もあると思います。アンチウイルスソフトだって、検出できない場合もありますが、それでも無いよりは、ある方が助かりますからね。( ここで「IE を安全に、なんて最初から無理じゃね~の」とか言ってしまうと、ぶちこわしですから) 結局、
Re:役に立たないものもあるかどうかは・・ (スコア:1)