水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > ブラウザの DoS 話

ブラウザの DoS 話

2007年8月7日(火曜日)

ブラウザの DoS 話

IE6を一行でクラッシュさせるコード (slashdot.jp)」。ちなみにこの手のクラッシュを IPA 経由で届け出ると、MS は「脆弱性じゃありませんがありがとう」という感じの反応をして、特に何事もなく終了します。そのうち直るかもしれませんし直らないかもしれません。そんなもんです。

実はブラウザに対する DoS ってあまり深刻な問題として受け止められないのですよね。というのも、ブラウザに対する DoS 攻撃はあまりにも容易だからです。たとえば、

<script>for(;;)alert(1)</script>

なんてのが実行されると、たいていのブラウザは DoS 状態になります。しかし、だからといってブラウザ側で有効な対策ができるわけでもありません。これはそういうものだとしか言いようがありませんので、「Web ブラウザは悪意あるサイトにアクセスすると DoS 状態になることがある」ということが前提になってしまいます。

※ちなみにこの攻撃はスクリプト無効で回避できます。DoS が嫌だという人はスクリプト無効が必須になりますね。:-)

というわけで、単にクラッシュするというだけでは脆弱性だと認められるのは難しいでしょう。もちろん、バッファオーバーフローのおそれがある、というところまでちゃんと主張できれば違ってきますが……。

関連する話題: セキュリティ / Internet Explorer / Firefox / IPA

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト