主要タブブラウザに共通のセキュリティホール

主要タブブラウザに共通のセキュリティホール 128

ストーリー by GetSet 2004年10月22日 9時20分
影響範囲は広い部門より

greentea曰く、"CNET Japanの記事によると、SecuniaはMozilla Foundationの複数のブラウザ、Opera、Linux用のKonquerorなどのタブブラウザ、IE用にサードパーティが開発する、タブブラウザ機能を追加するためのプラグインに、共通する2つのセキュリティ問題が見つかったと発表した。
このうち1つの欠陥は、タブウィンドウで悪質なウェブサイトを開くと、そのサイトから別のタブウィンドウに入力された情報にアクセスされるおそれがある、というもの。またもう1つは、悪質なウェブサイトが、別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックスを表示することができてしまう、というものだ。
Secuniaではタブ機能つきブラウザの利用者に対し、JavaScriptを使用不可にするか、あるいは十分信頼できないウェブサイトにアクセスする際には、別のタブウィンドウで信頼できるサイトを開いたままにしておかないように奨めている。
Konquerorは19日（米国時間）にリリースした最新バージョンで、Firefoxはあと2週間ほどでリリース予定のFirefox1.0でこの問題は解決される。
また、同記事によると、Microsoftのブラウザについては最新アップデートでも回避不能な脆弱性も報告されているそうだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索128コメント Log In/Create an Account

タブじゃなくても危険 (スコア:3, 参考になる)

by ruto (17678) on 2004年10月22日 11時48分 (#640793) 日記

Dialog Box Spoofing Vulnerability の方はタブを使ってなくても(新しいウインドウで開いても)危険です。
target="_blank"などがつけられていれば(主要な視覚的ブラウザではクリックしただけでデフォルトの動作では新しいウインドウを開くので(長いただし書きだ))なおさら危険です。

#target="_blank"なリンクはデフォルトで視覚的に区別がつくようにするべきだよなぁ。
- Re:タブじゃなくても危険 (スコア:2, 参考になる)
  
  by n68 (18156) on 2004年10月22日 15時36分 (#640920)
  
  そこでユーザースタイルシートですよ。
  # デフォルト云々は同意です。
  
  /* 新しいウィンドウを開きそうなところにマークを表示 */
  a[target="_blank"]:after
  {
  content: "W";
  color: #fff !important;
  background: #000 !important;
  border: thick #dd0 solid !important;
  font-weight: bolder;
  font-size: larger;
  }
  
  シェア
  
  親コメント
  - Re:タブじゃなくても危険 (スコア:1)
    
    by Namany (19002) on 2004年10月22日 17時35分 (#640989) 日記
    
    base要素でtarget="_blank"を標準にしているいるページだったら意味無いような。
    というわけで、target="_self"の方も別な表示に変えておくことで、ページ標準のtargetが"_self"でないかもしれないということに気付く可能性があります。
    
    シェア
    
    親コメント
- Re:タブじゃなくても危険 (スコア:1)
  
  by en400a (16202) on 2004年10月22日 12時33分 (#640827) 日記
  
  firefoxの拡張にTarget Alertというものがあります。
  Target Alert [bolinfest.com]
  
  シェア
  
  親コメント
試してみた (スコア:3, 参考になる)

by Anonymous Coward on 2004年10月22日 14時37分 (#640904)

http://secunia.com/multiple_browsers_dialog_box_spoofing_test/
DonutRAPT/Firefoxで影響が確認できた。
しかし新しいタブをアクティブにする設定にはしてないからいまいちインパクトに欠ける。

http://secunia.com/multiple_browsers_form_field_focus_test/
同じくDonutRAPT/Firefoxで影響が確認できた。
Citibankのページで入力したはずの文字がどこかへ消えるので妖しさ抜群。

おまけ：FirefoxならどうしてもJavaScriptを有効にしなければ
ならない時の為に以下の内容をprefs.jsに書いておくといいかも。
focus乗っ取り攻撃への一定の(完全かは知らん)防御効果がある。
user_pref("capability.policy.default.HTMLAnchorElement.focus", "noAccess");
user_pref("capability.policy.default.HTMLButtonElement.focus", "noAccess");
user_pref("capability.policy.default.HTMLButtonElement.click", "noAccess");
user_pref("capability.policy.default.HTMLInputElement.focus", "noAccess");
user_pref("capability.policy.default.HTMLInputElement.select", "noAccess");
user_pref("capability.policy.default.HTMLInputElement.click", "noAccess");
user_pref("capability.policy.default.HTMLSelectElement.focus", "noAccess");
user_pref("capability.policy.default.HTMLTextAreaElement.focus", "noAccess");
user_pref("capability.policy.default.HTMLTextAreaElement.select", "noAccess");
user_pref("capability.policy.default.Window.focus", "noAccess");
- Opera7.54/Win でも試してみた (スコア:3, 参考になる)
  
  by DB-researcher (10541) on 2004年10月23日 0時04分 (#641166) ホームページ日記
  
  # まだ誰もOperaでの実験結果をポストしていないようなので，勇気を出して大きな声で言ってみる（ｗ
  
  http://secunia.com/multiple_browsers_dialog_box_spoofing_test/
  Opera7.54/Winで影響を確認．
  ただし，リンクの上にマウスカーソルを置くだけでダイアログが開いてしまうので，うまく誘導しないとすぐにバレそうだ（他のブラウザでは，リンクを開くまでダイアログが開かないのかな？）．誘導に成功して，さらに新しいタブをアクティブにする設定にしていれば，CitiBankのダイアログと見間違えることは十分ありえる．
  
  http://secunia.com/multiple_browsers_form_field_focus_test/
  Secuniaのサイトにもあるように，Opera7.54/Winでは全く何も起こらない．
  
  --
  _.. ._._._ _... ._._._ ._. ._._._
  物は試しだ。コメントのしきい値を2にしてごらん
  
  シェア
  
  親コメント
- Re:試してみた (スコア:1)
  
  by SuperSouya (18827) on 2004年10月22日 20時48分 (#641076) 日記
  
  私もFirefox0.10.1で再現できました。
  それにしても、Mozilla Projectの対応は早いですね。
  
  --
  Super Souya
  
  シェア
  
  親コメント
  - Re:試してみた (スコア:2, 参考になる)
    
    by Motohiko (15295) on 2004年10月23日 19時13分 (#641397) ホームページ
    
    それにしても、Mozilla Projectの対応は早いですね。
    
    細かいようだけど、Bug 124750 [mozilla.org]の報告は2002/2/10で、80を越えるdupを数え、尚且つ仮パッチ作成は2004/9/27です。単にタイミングがよかっただけではないでしょうか。現在のが仮パッチというのも加味しないと (trunkには入ってない)。
    
    つまりFx 1.0 (Gecko/1.7) はいいけど1.1 (Gecko/1.8) はどうなるか、と。半年は先のことを心配しても仕方ないんだけどね…。
    
    それは兎も角、 document.createEventを用いた問題 (Bug 265456) [mozilla.org]が残ってました。Fxは明日 (2004-10-23) 付けのビルドで、とりあえず両方とも問題なくなるようです。
    
    シェア
    
    親コメント
Opera7.6で修正するとの発表 (スコア:3, 参考になる)

by DB-researcher (10541) on 2004年10月23日 7時34分 (#641250) ホームページ日記

Opera社も「今年末にリリースされるOpera7.6でこの問題を修正する」と発表 [opera.com]しています．

なお，同ページでは，「重要な情報を扱うサイトへ移動する際に，信頼できないサイトに置かれたリンクを利用するべきではない」ともアドバイスしています．

--
_.. ._._._ _... ._._._ ._. ._._._
物は試しだ。コメントのしきい値を2にしてごらん
Javascript (スコア:1, すばらしい洞察)

by Anonymous Coward on 2004年10月22日 9時31分 (#640700)

セキュリティに興味があるのなら使わないのがデフォルトだと思うのですが、なにか。
- Re:Javascript (スコア:2, 参考になる)
  
  by hetsu (20017) on 2004年10月22日 9時46分 (#640711)
  
  結局，利用者が「Javascript，JAVA，ActiveXの実行は危険を伴う」
  と言う認識を持つことが大事なんでしょうね。
  
  私はIEコンポーネントのSleipnir使いなのですが。
  Sleipnirの場合，ブックマークごとに
  JAVAScript，JAVA，ActiveXなどのオンオフが設定できるので，
  よく行くサイトのみオンにして，デフォルトはオフにしています。
  
  IEコンポーネントブラウザはIEのセキュリティホールを継承しますが，
  下手に他のブラウザを使うより，この方がいいかな，と思っています。
  （そんなことはない，って方はご指導ください）
  
  #でも，今気づいたけど，Sleipnir，Geckoに正式対応していますね。
  #GeckoコアでのSleipnirが最強なのかな？
  
  シェア
  
  親コメント
  - Re:Javascript (スコア:4, おもしろおかしい)
    
    by parsley (5772) on 2004年10月22日 10時39分 (#640750) 日記
    
    >結局，利用者が「Javascript，JAVA，ActiveXの実行は危険を伴う」と言う認識を持つことが大事なんでしょうね。
    
    同意。ヤバスクリプトという名前でも広めましょうか？
    
    --
    Copyright (c) 2001-2014 Parsley, All rights reserved.
    
    シェア
    
    親コメント
    - Re:Javascript (スコア:2, 興味深い)
      
      by himazu (13982) on 2004年10月22日 13時45分 (#640880)
      
      Jはドイツ語ではヤ行の子音なので（たぶんオランダ語でも）、実際にオランダ人がJavaを「ヤバ」のように発音するのを聞いたことがあります。
      
      というわけで、以前からドイツ語圏等に「ヤバスクリプト」と発音している人はいたのではないかと想像します。
      
      シェア
      
      親コメント
      - Re:Javascript (スコア:2, 興味深い)
        
        by T.MURACHI (15699) <murachiNO@SPAMharapeko.jp> on 2004年10月22日 15時25分 (#640918) ホームページ日記
        
        ドイツ語圏だと、v は英語の f の発音で使われることが多いから、Java は「ヤファ」になると思う。 Javascript だと「ヤファシュクリープツ」て感じ?
        
        # Oliver さめに聞いてみなくてわｗ
        
        --
        むらちより/あい/をこめて。
        
        シェア
        
        親コメント
        
        Re:Javascript (スコア:2, 参考になる)
        
        by mad-p (1491) on 2004年10月22日 20時33分 (#641071)
        
        ドイツに住んでるけどヤバシュクリプトって聞こえるよ。ヤファには聞こえない。
        
        シェア
        
        親コメント
  - Re:Javascript (スコア:1)
    
    by Carol (2812) on 2004年10月22日 10時05分 (#640725)
    
    wiki [sppd.ne.jp]見るかぎりはまだ正式対応版出てないようなんですけど、どこに正式対応の情報ありました？
    
    あったら欲しい。
    
    シェア
    
    親コメント
    - Re:Javascript (スコア:1)
      
      by hetsu (20017) on 2004年10月22日 10時20分 (#640735)
      
      おやま，ホントですね。
      HPに窓の杜の記事 [impress.co.jp]へのリンクがあって，
      正式バージョンで対応のようなかかれ方をしていたので。
      お恥ずかしい。
      
      シェア
      
      親コメント
  - Re:Javascript (スコア:1)
    
    by ccd (10197) on 2004年10月22日 10時38分 (#640749) 日記
    
    結局の所、IEコンポーネント使用型のタブブラウザを、JavaScriptなどはデフォルトOFFにして使うのが一番便利かつある程度安全性も確保できるのでは、という気が。
    
    まぁMozillaなりFireFoxなりにタブブラウザ拡張を突っ込めば、ほぼ同等のことができるんですが。ただLunascapeにある「このタブの設定を次タブに引き継ぐ」機能さえ移植されれば…。新しいウィンドウを開くタイプのWebサイト(たとえば東京三菱ダイレクト [btm.co.jp]とか出光カード [idemitsu.co.jp]とかログオンが必要なサイトに多い)だと、この機能が無いと不便なのです。
    
    シェア
    
    親コメント
  - - Re:プリペイド携帯と同じなんだよ (スコア:2, すばらしい洞察)
      
      by Shidho (5649) on 2004年10月22日 11時46分 (#640791) 日記
      
      ちょっと笑った。確かにそーだ。
      統計取ったら、
      「実際に犯罪に使われたホームページの90%以上にJavaScriptが使われていた」とか出るぞ。
      2ch.netの掲示板にもJavaScriptは使われている(た?かな)しな。
      
      ＃禁止すべきかどうかはともかく。
      
      シェア
      
      親コメント
  - - Re:Javascript (スコア:1)
      
      by Motohiko (15295) on 2004年10月22日 21時07分 (#641079) ホームページ
      
      なんで画像一枚開くだけの事にJavaScriptを要求するんだ。
      讀賣新聞 [yomiuri.co.jp]とか。
      
      でっち上げてみた。画像自体のリンクは機能しないけど。
      
      Name = "YOL view large image" Active = TRUE Multi = TRUE URL = "www.yomiuri.co.jp/" Bounds = "＜SCRIPT LANGAGE="javascript" * ＜/NOSCRIPT＞" Limit = 700 Match = "*photoWinOpen\('http://www.yomiuri.co.jp/zoom/([0-9A-Z\-]+\.htm)\1'*" Replace = "＜A HREF="http://www.yomiuri.co.jp/zoom/\1"＞＜font class='SS'＞写真の拡大＜/font＞＜B style='background-color:#dddddd'＞＜font class='Md'＞＋＜/font＞＜/B＞＜/A＞"
      
      それは兎も角、こうしたときにJavaScriptでポップアップウィンドウを開きたいのはわかるんだけど、スクリプトがなくても機能するようにしてくれてもいいと思うけどねぇ。
      
      シェア
      
      親コメント
    - - Re:矛盾 (スコア:1)
        
        by n225 (16459) on 2004年10月22日 15時59分 (#640933) ホームページ日記
        
        まぁ、google adsenseとかの広告だしね・・・
        
        シェア
        
        親コメント
- Re:Javascript (スコア:1)
  
  by quabbin (17251) <{quabbin100} {at} {yahoo.co.jp}> on 2004年10月22日 9時45分 (#640708) ホームページ日記
  
  正しく機能させるには使わなければならないサイトが結構あるのですが、なにか。
  
  シェア
  
  親コメント
  - - - Re:Javascript (スコア:1)
        
        by Anonymous Coward on 2004年10月22日 12時25分 (#640820)
        
        裁判官に制止されたのが検察官なのか元研究員なのかがこの記事だといまいちわかんないんですが。
        実際のところ心証はどうなんでしょうねぇ。
        
        シェア
        
        親コメント
        
        Re:Javascript (スコア:1)
        
        by U-Chan (6901) on 2004年10月22日 15時39分 (#640922)
        
        一般的かどうかは知らないが、telnet コマンドで直接 HTTP ポートを叩いたり、HTML ファイルを取ってきて手で書き換えてアクセスするとかは良くやりますよ。
        特に、JavaScript が IE 以外に対応していないときなんて、適当に書き直して Mozilla でも見られるようにしたりします。
        
        シェア
        
        親コメント
        
        Re:Javascript (スコア:1)
        
        by greentea (17971) on 2004年10月22日 22時34分 (#641117) 日記
        
        HTMLソースを改変って言うから、てっきりFTPか何かで改変したHTMLをアップロードしたのかと思ったら、
        ローカルで何かやってるだけかよ…
        んなもんクライアントが何しようが勝手じゃないか…
        だいたい、ちゃんと規格どおりにHTMLが動くブラウザでアクセスしてくる保証もないんだし。
        
        それに、それが有罪なら
        javascript:document.body.innerHTML=document.body.innerHTML.replace(/ー/g,'キタ---(゜∀゜)---');focus();
        も有罪ってことになるんかなぁ。
        
        --
        1を聞いて0を知れ!
        
        シェア
        
        親コメント
        
        Re:おふとぴです (スコア:2, おもしろおかしい)
        
        by Anonymous Coward on 2004年10月22日 13時44分 (#640879)
        
        丼の字のまんなかの点が実は蛙なんです(意味不明)
        
        シェア
        
        親コメント
- Re:Javascript (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2004年10月22日 9時53分 (#640717)
  
  使わなくても普通に見られるサイトばかりならそれで良いのですが、
  使わないとまともにみられないサイトも結構な数あることが問題なわけで。
  Windows Updateとか。
  
  IEではセキュリティゾーンの設定がドメインレベルでしか行えないのも問題かと。
  
  シェア
  
  親コメント
  - - Re:教えてエロい人 (スコア:1, 参考になる)
      
      by Anonymous Coward on 2004年10月22日 13時14分 (#640859)
      
      自動更新と「インターネットオプション」の設定は別物です。
      少なくとも「ダウンロードして告知」までなら。
      常時JavaScript・ActiveX無効の環境で試したことがありますが、きっちり「更新の準備ができました」と来ました。
      「自動でインストールする」とどうなるかはちょっと怖くて試せていません。
      
      #まだSP2入れる準備が出来てないのでAC
      
      シェア
      
      親コメント
Safariも。 (スコア:1, 参考になる)

by Anonymous Coward on 2004年10月22日 10時08分 (#640729)

らしいですが。
http://internet.watch.impress.co.jp/cda/news/2004/10/21/5090.html

CNETもITMediaもその記述はないです。
- Re:Safariも。 (スコア:3, 参考になる)
  
  by yourCat (4820) <{yourcat} {at} {users.sourceforge.jp}> on 2004年10月22日 11時12分 (#640768) ホームページ日記
  
  SafariについてはSafari Dialog Box Spoofing Vulnerability [secunia.com]に記述があります。
  Safariでは、タブの場合はこの問題は起きないものの、別ウィンドウでは同様のことが起きます。確かに簡単に再現できました。
  JavaScriptのpromptウィンドウが、どのwebページから呼び出されたものかがユーザーには容易に区別がつかないため、最前面ページのものと思ってしまう、という点は同じです。
  
  シェア
  
  親コメント
- Re:回避策 (スコア:2, 参考になる)
  
  by MisakiTRA. (3129) <mmisa@tranet.org> on 2004年10月22日 18時16分 (#641014) ホームページ日記
  
  この問題に限らず、ブラウザを経由して情報が漏れる可能性を常に疑う、
  という方針でいくなら（一般的なフィッシング対策に加えて）、
  ・ディスクキャッシュを切る。
  ・重要な情報を入力するサイトに行く前後でブラウザを落とす。
  なんてことになるのでしょうか。
  不便にはなるけれど、銀行とかクレジットカード情報とかに限定すれば、
  慎重を期することは可能かも知れません。
  
  安全性の疑われるサイトを開く時には、以前からこれに近い策を取っていますが、
  もっとパラノイアになった方がいいのか…
  
  シェア
  
  親コメント
- Re:回避策 (スコア:1, 参考になる)
  
  by Anonymous Coward on 2004年10月22日 11時33分 (#640782)
  
  ＞そんな作り方になっている正規サイトなんてないんだし。
  
  たとえばここ [shinseibank.com]とか。
  
  シェア
  
  親コメント
  - 追加 (スコア:1, 参考になる)
    
    by Anonymous Coward on 2004年10月22日 12時35分 (#640829)
    
    ここ [oracle.co.jp]とかそこ [showtime.jp]とかも同じです。
    銀行に比べれば危険度は低いかもしれないけど・・・でも、両方ともお金が絡むような？
    
    ＃自分が使ってるとこを並べただけなのでAC
    
    シェア
    
    親コメント
  - 新生銀行はセキュリティがずさんなので金を預けるべき (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2004年10月22日 12時41分 (#640835)
    
    人様のお金を預かる仕事に必要な最低限のセキュリティ知識すら欠けている事が明白なので金融業の免許を剥奪すべきだ。
    
    シェア
    
    親コメント
    - Re:新生銀行はセキュリティが世界一！ずさんなので金 (スコア:1)
      
      by greentea (17971) on 2004年10月22日 22時49分 (#641124) 日記
      
      そして、世界二位の銀行は銀
      
      --
      1を聞いて0を知れ!
      
      シェア
      
      親コメント
- Re:回避策 (スコア:1)
  
  by ruto (17678) on 2004年10月22日 11時57分 (#640797) 日記
  
  しかしWebがただの文章を見るだけものから様々な機能を提供するものへとしゃしゃりでてくるにつれ、シェルや他のアプリケーションとのUIの不統一が問題になってきますね。
  「エクスプローラーではダブルクリック、インターネットエクスプローラーではシングルクリック。普通のアプリケーションではダイアログボックスに入力していい、Webだとダメ。……」
  
  シェア
  
  親コメント
- Re:回避策 (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2004年10月22日 12時01分 (#640799)
  
  ＞そんな作り方になっている正規サイトなんてないんだし。
  
  　既に新生銀行のサイトが紹介されてますが
  　こういうサイト設計って設計者の常識を疑ってしまいますね
  　最近流行りのフィッシング詐欺に狙って下さいと言わんばかり
  　もちろん変なリンクを辿らなければよいのですが
  
  　そしてフィッシング詐欺が流行っているのにこういうサイトを
  　いつまでも銀行が運営している事もどうかと思います。
  　運営サイドから指摘してあげたりしないのでしょうか？
  　（銀行側が予算が無いから放置とかありそうですけど
  　　セキュリティに無頓着な銀行に金預ける気にはなりませんよね）
  
  　どこの設計でどこが運営してるんよ？
  
  シェア
  
  親コメント
  - Re:回避策 (スコア:3, 参考になる)
    
    by von_yosukeyan (3718) on 2004年10月22日 15時47分 (#640928) ホームページ日記
    
    大抵は、大手銀行だとシステム子会社が開発してますね
    地銀はNTTデータ(ANSER-WEBとか)やメーカーの共同システムを使ってる場合が多いです
    
    メジャーどころでポップアップするところだと
    東京三菱銀行 [btm.co.jp] Weblogic使った自社開発っぽい
    ソニー銀行 [moneykit.net] 富士通のネット銀向け勘定系パッケージ
    ジャパンネット銀行 [slashdot.jp] 同上
    アイワイバンク銀行 [iy-bank.co.jp] 旧三和銀行の勘定系パッケージ
    イーバンク銀行 [ebank.co.jp] Weblogicベースの自社開発
    シティバンク [citibank.co.jp] 子会社のiFlex solutions製のFlexCube
    新生銀行 [shinseibank.com] 同上
    横浜銀行 [boy.co.jp] 多分日立系
    
    この中でワースト3を挙げるなら、横浜銀行、東京三菱銀行、ソニー銀行ですね
    この三行は、いずれもポップアップで開いたウィンドウのURLバーが表示されないので、ぱっと見正規のサイトか確認できません
    フィッシング詐欺への注意喚起も、横浜銀行は電子メール詐欺にご注意 [boy.co.jp]というドキュメントが、東京三菱はセキュリティに関する重要なお知らせ [btm.co.jp]という注意文書が掲載されていますが、非常にわかりにくい場所にある上に内容も不十分きわまりないです。ソニー銀行にはそれすらもありません
    
    さらに東京三菱は、利用手数料を徴収するくせに個人情報を他行・他社のものを含めてすべてよこせ [btm.co.jp]という素敵な利用規定を持つMTFG NET PLAZA [btm.co.jp]というアカウント・アグリケーション・サービスをやっていますが、このログイン画面もポップアップで開く仕様です
    
    最悪なのは、横浜銀行が使っている共同システム(ib-center.gr.jp)で、同じものを京都銀行がかつて使っていたので私自身もよく使っていたんですが、ログイン画面以降のポップアップはURLを確認しようとしてもスクリプトでcontextmenuを表示禁止にしていて、Windowsで右クリックすると「右クリック禁止」と表示されてcontextmenuが開けません
    #京都銀行は、ANSER-WEBに移行しているので現在はib-center.gr.jpは使っていません
    
    シェア
    
    親コメント
    - Re:回避策 (スコア:1)
      
      by takanori (3460) on 2004年10月22日 17時05分 (#640968)
      
      そっか…。
      そんなところと合併して大丈夫か? UFJ [ufbank.co.jp]
      
      シェア
      
      親コメント
    - - Re:回避策 (スコア:2, 参考になる)
        
        by von_yosukeyan (3718) on 2004年10月22日 16時26分 (#640945) ホームページ日記
        
        いや、リンク先 [btm.co.jp]を読んでもらいたいんだけど、「お取引情報」とは、というところで
        
        本サービスのご利用により、お客さまが登録・収集された各金融機関（東京三菱銀行や三菱証券などのMTFG各社のほか、他行及び他金融機関を含みます）のお取引情報※。
        ※「お取引金融機関」、「保有金融商品」、「保有金融商品の残高や明細」、「お取引明細」、「ご利用情報」、「ご利用状況」、その他の個人情報。
        
        とあって、MTFG、BTM、MTBC、三菱証券の三社が共有(Point1)、「お客さま個人のお取引情報を参考にして、お客さまにとってお役に立つと思われるMTFGが取り扱う金融商品・サービスや、金融マーケット情報などをご案内差し上げ」るために使用(拒否も可能)、統計情報としての使用(必須)する(Point2)とある
        
        シェア
        
        親コメント
        
        Re:回避策 (スコア:1, 興味深い)
        
        by Anonymous Coward on 2004年10月22日 16時35分 (#640952)
        
        ひょ～利用申し込み [btm.co.jp]のページ(5.利用登録手続きの完了)で、5x5の確認番号全部入力させてるよ～。お前のカード、こっちに寄こせって言ってるようなもんだな。
        
        フィッシングしたらおいしそうだな～
        
        シェア
        
        親コメント
    - - Re:回避策 (スコア:2, 参考になる)
        
        by von_yosukeyan (3718) on 2004年10月22日 16時58分 (#640964) ホームページ日記
        
        新生はフロント(Webサーバ+アプリケーションサーバ)もDBも、WindowsとIISとMS-SQL Server使ってますよ。特にトラブルらしきものは経験したことは無いけど・・・。
        
        シティバンクも、ダイレクトのWebサーバはIISで走ってたと思います。DBもWindowsかどうかは知らないけど(FlexCube自体はWindowsでもUNIXでも走るけど)
        
        #なお、米国のシティバンクはFlexCubeベースじゃなくてメインフレームベースのCOSMOSなんで一応
        
        シェア
        
        親コメント
      - Re:回避策 (スコア:1)
        
        by shigezo (2455) on 2004年10月22日 19時19分 (#641046) 日記
        
        ＞NimdaやCodeRedの事を考えるとねぇ
        
        　感染するとネットワーク上のIISを探して穴をついて感染し
        　そのサイトをIEで見たユーザのさらに穴をついてトロイを仕込んで
        　偽銀行サイトに誘導しログインさせて一丁あがりってな感じの
        　ハイブリッドウィルスとフィッシングを融合させた超ハイブリッド（？）な
        　ウィルスフィッシングがそのうちおきそうですね。
        
        　IEでしかうまく動かないオンラインサービスが多いのは
        　自衛できなくなるのでちょっと困りますね。
        
        　重蔵。
        
        シェア
        
        親コメント
  - - うゎぁ、ひどい (スコア:1)
      
      by parsley (5772) on 2004年10月22日 13時43分 (#640878) 日記
      
      アドレス欄をなくしたログインスクリーンを出しておいて、
      発行先：directa03.shinseibank.co.jp
      なんて証明書を提示して説明するような、
      「４．当行ウェブサイトの安全性の確認方法」じゃありませんね。
      
      --
      Copyright (c) 2001-2014 Parsley, All rights reserved.
      
      シェア
      
      親コメント
- ああ、勘違い (スコア:1)
  
  by coco-natade (13903) on 2004年10月22日 19時36分 (#641052)
  
  >ポップアップしたウィンドウには、けして何も入力しない。
  
  同意…というより、いつもそうしていました。
  Sleipnirを使用していて、その現象はすでに経験済みだったので、
  今日の今日まで「仕様」だと思っていました。
  
  「し、知らんかった…。セキュリティホールだったのかよ。」
  記事を読んだ正直な感想です。
  
  シェア
  
  親コメント
- Re:I'm a gnomer (スコア:2, 参考になる)
  
  by jmk (11245) on 2004年10月22日 12時27分 (#640821)
  
  けっきょくは Javascript の問題なので、 mozilla コンポーネントを使っているのであれば galeon や epiphany でも再現するでしょう。
  風博士でやっても再現した。
  
  シェア
  
  親コメント
- Re:ブラウザのタブウィンドウは使い難い (スコア:1)
  
  by ruto (17678) on 2004年10月22日 13時54分 (#640884) 日記
  
  exposeがあって、新しいウインドウを前面ではなく後面に出すような機能があればタブじゃなくても良いのかも。
  
  シェア
  
  親コメント
- Re:こういう話題になると (スコア:1)
  
  by mocona (23547) on 2004年10月22日 19時32分 (#641051)
  
  > Javaの類
  
  一緒くたにせんでください。JavaScript、Java、ActiveX は、それぞれかなり違う物です。
  # JScript も入れておいた方がいい?
  
  シェア
  
  親コメント
  - Re:こういう話題になると (スコア:1)
    
    by yu_raku (419) on 2004年10月22日 21時39分 (#641088)
    
    どれも、無いほうが幸せって意味では同じかと。
    # いろんな意味で。
    
    シェア
    
    親コメント
- Re:ジーク・モジラ (スコア:2, おもしろおかしい)
  
  by Anonymous Coward on 2004年10月23日 2時02分 (#641212)
  
  で、最後は
  「お兄様もお甘いようで」
  とOpera辺りに頭打ちぬかれる、と。
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

主要タブブラウザに共通のセキュリティホール More ログイン

タブじゃなくても危険 (スコア:3, 参考になる)

Re:タブじゃなくても危険 (スコア:2, 参考になる)

Re:タブじゃなくても危険 (スコア:1)

Re:タブじゃなくても危険 (スコア:1)

試してみた (スコア:3, 参考になる)

Opera7.54/Win でも試してみた (スコア:3, 参考になる)

Re:試してみた (スコア:1)

Re:試してみた (スコア:2, 参考になる)

Opera7.6で修正するとの発表 (スコア:3, 参考になる)

Javascript (スコア:1, すばらしい洞察)

Re:Javascript (スコア:2, 参考になる)

Re:Javascript (スコア:4, おもしろおかしい)

Re:Javascript (スコア:2, 興味深い)

Re:Javascript (スコア:2, 興味深い)

Re:Javascript (スコア:2, 参考になる)

Re:Javascript (スコア:1)

Re:Javascript (スコア:1)

Re:Javascript (スコア:1)

Re:プリペイド携帯と同じなんだよ (スコア:2, すばらしい洞察)

Re:Javascript (スコア:1)

Re:矛盾 (スコア:1)

Re:Javascript (スコア:1)

Re:Javascript (スコア:1)

Re:Javascript (スコア:1)

Re:Javascript (スコア:1)

Re:おふとぴです (スコア:2, おもしろおかしい)

Re:Javascript (スコア:1, すばらしい洞察)

Re:教えてエロい人 (スコア:1, 参考になる)

Safariも。 (スコア:1, 参考になる)

Re:Safariも。 (スコア:3, 参考になる)

Re:回避策 (スコア:2, 参考になる)

Re:回避策 (スコア:1, 参考になる)

追加 (スコア:1, 参考になる)

新生銀行はセキュリティがずさんなので金を預けるべき (スコア:1, おもしろおかしい)

Re:新生銀行はセキュリティが世界一！ずさんなので金 (スコア:1)

Re:回避策 (スコア:1)

Re:回避策 (スコア:1, すばらしい洞察)

Re:回避策 (スコア:3, 参考になる)

Re:回避策 (スコア:1)

Re:回避策 (スコア:2, 参考になる)

Re:回避策 (スコア:1, 興味深い)

Re:回避策 (スコア:2, 参考になる)

Re:回避策 (スコア:1)

うゎぁ、ひどい (スコア:1)

ああ、勘違い (スコア:1)

Re:I'm a gnomer (スコア:2, 参考になる)

Re:ブラウザのタブウィンドウは使い難い (スコア:1)

Re:こういう話題になると (スコア:1)

Re:こういう話題になると (スコア:1)

Re:ジーク・モジラ (スコア:2, おもしろおかしい)