新生鳩丸掲示板♯

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >しまった出遅れた。 > >以下、WinIEのお話しです。 > >http://seclists.org/lists/bugtraq/1999/Nov/0385.html >で未来の人に申し送りしておいた案件のようです。 >最近になって、脆弱性対策アプリのPIV-X（だったっけかな？）の製造者殿が >こんなの脆弱性じゃぁナイワイと某MLで言っていました。なんだか >別の綴りのフレームになっていて変な気分でした。 > >むしろ私はiframe要素って悪意ある攻撃者の良いオモチャだと思っていますが >どうなのでしょう。 > >ええと、確かobject要素では、HTML風もしくは画像風を >同じドメイン内を呼び出す【不思議用語】 >ならば、よいのですが、違うドメインからですと、 >上手に呼び出せません。（WinIE） >それのサブセット【不思議用語】たるiframe要素が、 >ドメインが違っていても平気でレンダリングするのは >かなり謎な気がします。 > >このへん、解決すればいいのになぁとセキュリティー的には思います。 >大体、もっと大きなカテゴリーであるセキュリティーゾーンが違うのに >Iframe君頑張り過ぎです。 > >社会工学的なセキュリティーの意味では、、 >iframe要素同様に埋め込み型リンク内蔵のimg要素が、やはり >違うドメインでも平気でレンダリングするのはアレですか、 >因習でしょうか、モザイク時代の。 > >ブラウザが、object要素同様に埋め込み型のimg要素であっても >参照先が違うドメインならば無視するようになったら、 >いわゆる「画像直リンするなゴルァ」という問題も >なくなるのではと夢想しております。