パスワードを忘れた? アカウント作成
13621028 story
セキュリティ

クロスサイトスクリプティングを解説するマカフィーのブログ記事にツッコミが入る 57

ストーリー by hylom
生暖かく見守りつつ指摘しましょう 部門より

セキュリティベンダーMcAfee(マカフィー)の公式ブログ記事で、JavaScriptを利用しているサイトは減少傾向にあるといった記述があり話題となっている(はてなブックマーク)。

問題の記事は「情報漏えいにつながる脆弱性「クロスサイトスクリプティング」」というもの。現在では修正されているが、WebArchiveで確認すると以下のような記述があったことが確認できる。

スクリプトとはJavaScriptのことで、Webサイト上でさまざまな機能を使用できるため、多くのサイトに導入されていました。ただし、現在は脆弱性の多さから減少傾向にあります。

また、現在のバージョンでも次のような理解しにくい記述が残っている。

最近ではJavaの脆弱性が多く発見されており、深刻な影響を受けるケースもあるため、スクリプトを無効にするWebサイトも増えています。

  • by miyuri (33181) on 2018年06月13日 19時44分 (#3424644) 日記

    『入門者が書いた入門書』みたいなのは、なんだかなーって。

    ここに返信
  • クラウドソーシングサイトで下請けして作ったアフィ集客目的の文字数水増しした内容が薄っぺらいサイトに多い記述
    やってることはMERYやWELQと同じ
    「マカフィー マーケティング部」とかなってるから、たぶん1000円ぐらいで誰かに下請けさせたんだろう。
    こんなので資料ダウンロードする気になるのかなぁ。

    ここに返信
  • 大変だ!ありとあらゆるサービスがクラックされちまう!
    ここに返信
    • by Anonymous Coward

      今のトレンドならJavascriptを使用しているサイトは
      不正指令電磁的記録作成・供用の疑いがあるになるのでは、

      # 脆弱性があるの解っていると証明されてしまったらですけど

      • by Anonymous Coward

        マカフィーですらちゃんとUCCで書いてるのに……

        • by Anonymous Coward

          UCC? 上島珈琲か?
          # 素人のレベルはこんなもん
          # 実際にGoogleで検索しても上島珈琲が出てくる

          • by Anonymous Coward

            UCC script で検索させてみた
            https://github.com/kw-udon/ucc [github.com]

            https://ejje.weblio.jp/content/%EF%BC%B5%EF%BC%A3%EF%BC%A3 [weblio.jp]
            例文
            However, UCC canned coffee is categorized as a milk beverage due to its high ratio of milk solids.
            ただし、UCCの缶コーヒーは、乳固形分の比率が高く乳飲料に該当する。

            • by Anonymous Coward

              日本じゃユーザークリエイテッドコンテンツって言葉は普及してないからなぁ、UCCと言ったら缶コーヒーでしょ。

  • by Anonymous Coward on 2018年06月13日 21時52分 (#3424738)

    >最近ではJavaの脆弱性が多く発見されており、深刻な影響を受けるケースもあるため、スクリプトを無効にするWebサイトも増えています。
    JavaとJavaScriptの区別もついていないレベルかよ。

    ここに返信
    • by Anonymous Coward on 2018年06月14日 9時19分 (#3424936)

      どんなゲーム機でもファミコンという感じかな

    • by Anonymous Coward

      Java Applet なら、確かに減少傾向だな。つうか絶滅危惧種。

      • by Anonymous Coward

        Flash(ECMA Script)の話も混ざってるかもしれない。
        「無効にするWebサイトも増えています」って記述はブラウザ側がデフォルトでブロックする挙動の事を言ってそうな気がする。
        Javaのが先にブロックされるようになったけど、今でも見かけるのはFlashのブロックだし、ここまで知識が危ういとね…

      • by Anonymous Coward

        Flashはデフォルトブロックながらまだ生きてるとして、一世を風靡したが絶滅危惧種なやつって言うとShockwaveとか言うのも有ったな。
        まだ生きてんのかな…と思ったら 生きてるらしい「最新版 12.3.2.202 / 2018年3月16日(2か月前)(米国時間)」 [wikipedia.org]
        Macは去年サポート終了だし流石に畳みには掛かってるか。

        ていうか日本語公式 [adobe.com]が酷い。ロゴ画像がリンク切れかよ。
        「現在、3億人以上のWebユーザが、Adobe Shockwave Player をインストールしています。

    • by Anonymous Coward

      無効にするWebサイトっていうのもね
      無効にするのはサイトじゃなくてユーザーだろうに

  • by Anonymous Coward on 2018年06月13日 18時42分 (#3424577)

    AJAX流行る前は、真に受けてJavaScriptをオフにしてる奴おったやろ

    ここに返信
    • by Anonymous Coward

      真に受けるも何も今でもデフォルトOFFですよ
      俺のPC上で俺に同意なく計算資源使うボケって思ってるんで。

      GoogleMapみたいなサービス利用に必要ならおkですが画面デザインだなんだに使うなボケ

      • by Anonymous Coward

        頑張ってこまめに設定したり、お前の人件費安いな。

        • by Anonymous Coward

          はぁ、自衛するとそうなんですか。
          そう思うならそれでいいんじゃないですかね

      • by Anonymous Coward

        ほとんどのWebサービス使えないじゃん
        スマホとかはどうしてるの?

      • by Anonymous Coward

        さぞや高尚な計算処理をなされていることかと存じますが、
        後学のためにどのような処理をされているのか教えていただけますでしょうか。

      • by Anonymous Coward

        スマホ持ってる?
        持ってたら、スマホからサイト見る時どうしてる?オフにできる?

    • by Anonymous Coward

      だいたいIE6が悪い

    • by Anonymous Coward

      その時にはadblockに「.js$」を指定しとくと爆速だったから(今もログインしないならそうかも)、オフにしてた。今は半々ぐらい。

    • by Anonymous Coward

      社内WEB(IE6)はフル活用(^^;)
      どちらかと言うとActiveXコンポーネントだけど

    • by Anonymous Coward

      どこもJavaScript前提になったから利便性のために諦めてるだけで、できることならオフにしたいよ
      コード書くのも楽しくないからJavaScriptは好きじゃない

      • by Anonymous Coward

        自分はセキュリティのためにもオフにしてる。
        必要なサイトだけオンにしてる。

        これがデフォルトでできるのはChromeだけなんだよなー。
        Firefoxはアドオンでできるけど。他のブラウザは無理ぽ。

        • by Anonymous Coward

          いつの間に……
          昔はJavaScriptだけじゃなくてCSSやフレームも無効にできたんだがなあ
          どんどん設定できる項目が少なくなっている

          IE11ではふつうに設定からスクリプトを無効にできるけど、
          Firefoxでは、設定画面として見せていないので、about:config を開いて javascript.enabled をfalseにしなければならない
          Edgeはできない?

          • by Anonymous Coward

            いや、ホストごとにオン・オフ(ホワイトリスト化)のことね。
            全体でのオン・オフなら他のブラウザにもある。でも、さすがに使いにくいから、一部許可できないと使えない。

            確かEdgeはそもそもオン・オフなかった気がする。

      • by Anonymous Coward

        JavaScriptが楽しくないのは今の開発を知らないからだと思うよ。
        今時はだいたい楽しくなさを感じる前に実装が終わっちゃう。

    • by Anonymous Coward

      JavaScriptで貫通してくるセキュリティホールもなかったっけ?
      JavaやFlashの方が圧倒的に貫通しまくってたけど。

      • by Anonymous Coward

        セキュリティホールが貫通???

        • by Anonymous Coward

          セキュリティホールは元々空いていますもんね

    • by Anonymous Coward

      この記事を真に受けた場合、Javascriptをオフにするのはブラウザ側じゃなくてWebサイト側ですね

      • by Anonymous Coward

        スクリプトを無効にするWebサイトってなんだ?
        script要素を全部削除してもそれは無効って言うのか?
        webブラウザ側の挙動をサイト側が制御してるのか?
        script-src 'none';って書いてんのか?
        結局この記述も意味わかんねえな

        • by Anonymous Coward

          切れる相手間違えてますよw
          #3424963はネタ元に書いてあるのを皮肉ってるだけですから。

          サーバー側でそんなことできないのは周知の事実。

    • by Anonymous Coward

      過去のブログを少し確認したのだが、10年くらい前はもっぱらw3m使ってたらしい。
      その頃くらいまでは大抵のサイトはJavaScriptやCSSを解しなくても問題なかったんだ。
      w3mはキーバイドと相まって動作が軽快だったし、レンダリングも綺麗だったし、画像も表示できたし、ターミナルやエディタと連動して快適に使用できていたんだ。

      w3m-0.5.3 released!
      https://opensource.srad.jp/story/11/01/17/0328225/ [opensource.srad.jp]

  • たぶんお茶か何かにクルクルパーになる薬を盛られてる

    ここに返信
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...