「Self-XSSはブラウザの脆弱性か」へのコメント
「水無月ばけらのえび日記 : Self-XSSはブラウザの脆弱性か」について、4件のコメントが書かれています。
[6983] Re:「Self-XSSはブラウザの脆弱性か」
moscript (2011年11月21日 6時28分)
Firefox 6以降からは "Bug 656433 - Disallow javascript: and data: URLs entered into the location bar from inheriting the principal of the currently-loaded page" となっています。
https://bugzilla.mozilla.org/show_bug.cgi?id=656433
参考までに。
[6984] Re:「Self-XSSはブラウザの脆弱性か」
えむけい (2011年11月21日 9時54分)
補足すると、javascript:alert(document.cookie)とやってもCookieを抜けないようになったということですね。alertすら定義されていないのでダイアログも出ませんが、こちらは意図したものではないそうです。
[6985] Re:「Self-XSSはブラウザの脆弱性か」
えむけい (2011年11月21日 10時12分)
> 攻撃者には「javascript:と入力してからコピーしてください」という指示をする余地もあるので、この対策で万全なのかと言われると微妙なところです。
そもそも「このURLをアドレスバーにコピーしてください」という指示をしているわけではないのです。
「ここをクリックしてCtrlキーを押しながら隠しコマンドA、C、L、V、Enterと入力すると裏Facebookへの入口が(以下略)」という感じです。
日本なら隠しコマンドを「カナ入力モードにしてチソリヒ」とかにすると引っかかる確率がさらに高くなるかもしれません。ローマ字入力ならタッチタイプできる人でもキーボードに目を奪われますし。少なくともFirefox 8ではカナ入力モードでも攻撃は成立するようです。
[6986] Re:「Self-XSSはブラウザの脆弱性か」
sen-u (2011年11月21日 18時13分)
公開されていたSelf-XSSのデモでは、下記の手順でした。
1. アドレスバーにフォーカスを合わせて下さい。
2. キーボードから”j”と入力
3. Ctrl-vを実行("avascript...”がペーストされる)
「水無月ばけらのえび日記 : Self-XSSはブラウザの脆弱性か」についてコメントを書く場合は、以下のフォームに記入してください。