アカウント名:
パスワード:
URLをクリックすると自動的に情報が表示されるとかいう仕組み
ファイルをクリックするとツールが起動するとか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
今から思うと (スコア:1)
クすると自動的に情報が表示されるとかいう仕組みを、安易に
ネットワークへ拡張したことが大間違いだったのではないでしょ
うか。もっと慎重に仕様を決めることができれば良かったので
しょうけど。
Re:今から思うと (スコア:2, すばらしい洞察)
これはHTMLとWWWの基礎ですが、それ自体には何も問題ないと思いますが。
ブラウザに何の個人情報も入力せず、ブラウジングしてるだけなら、ユーザーには何の被害も及ばないはず。
# 「時間の浪費」というのはユーザー自身の責任。
今回のセキュリティホールのように「ユーザーの意図とは異なる場所に情報が送られる」のは、「ユーザーの個人情報をブラウザに入力する」行為と組み合わさった時に初めて問題になると思います。
危険性は認めます。
でも、環境次第、使い方次第、ブラウザの実装次第ですね。
例えば管理者/ユーザーの区別のないWin9XのIEでActiveXを使えば、かなり危険。
一方、MacOS9、NN4.xでjavaを使っても、大したことは出来ない。
非常におおざっぱな例ですが。
Re:今から思うと (スコア:1)
ブラウザに入力しなくても、やりようによってはコンピュータ内のデータ(ブラウザとは関係の無いファイル)も持って行くことが可能ですよね。
このへんまでアクセスできてしまう作りもたいがいどうかな、と思います。
Windows Updateも、結構怖い実装ですよね。