アカウント名:
パスワード:
> 「ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識であり、具体的に説明はしていない」あの、ジャバスクリプトを利用するのは悪意あるサイトの方なんですけど。
> 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。
記事中の「利用者の携帯のジャバスクリプトを使って」というのは、JavaScriptがクライアントで動作することを踏まえても、所有格でつなげるのは違和感を感じます。これでは利用者と携帯端末に問題があるように読めてしまう。おそらく記者も問題の挙動を理解してないのだろう。なので、ドコモから採ったコメントもちんぷんかんぷんなところを引用したのだと思う。
問題があるのは、携帯電話の固有IDを送るドコモの仕様と悪意あるサイトに置かれたスクリプトなのだから
「悪意ある携帯用サイトに置かれたジャバスクリプトは、接続してきた利用者が意図しない形で、利用者が会員になっている別のサイトに接続させることができる。」 とすべきではないか?
> おそらく記者も問題の挙動を理解してないのだろう。なので、ドコモから採ったコメントもちんぷんかんぷんなところを引用したのだと思う。ああ、今回のDNS Rebinding問題とは無関係に一般的なXSS対策の話とかをドコモがしたところだけ切り貼りしてくれば確かにありえますね。ちょっとドコモに好意的すぎる気もするけど読売新聞のレヴェルを考えるとそれも十分あり得るなあ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
ドコモは何が問題であるかすら理解してないの? (スコア:2, すばらしい洞察)
> 「ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識であり、具体的に説明はしていない」
あの、ジャバスクリプトを利用するのは悪意あるサイトの方なんですけど。
読売新聞が (スコア:1, 参考になる)
> 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。
記事中の「利用者の携帯のジャバスクリプトを使って」というのは、JavaScriptがクライアントで動作することを踏まえても、所有格でつなげるのは違和感を感じます。これでは利用者と携帯端末に問題があるように読めてしまう。おそらく記者も問題の挙動を理解してないのだろう。なので、ドコモから採ったコメントもちんぷんかんぷんなところを引用したのだと思う。
問題があるのは、携帯電話の固有IDを送るドコモの仕様と悪意あるサイトに置かれたスクリプトなのだから
「悪意ある携帯用サイトに置かれたジャバスクリプトは、接続してきた利用者が意図しない形で、利用者が会員になっている別のサイトに接続させることができる。」 とすべきではないか?
Re:読売新聞が (スコア:0)
> おそらく記者も問題の挙動を理解してないのだろう。なので、ドコモから採ったコメントもちんぷんかんぷんなところを引用したのだと思う。
ああ、今回のDNS Rebinding問題とは無関係に一般的なXSS対策の話とかをドコモがしたところだけ切り貼りしてくれば確かにありえますね。
ちょっとドコモに好意的すぎる気もするけど読売新聞のレヴェルを考えるとそれも十分あり得るなあ。