[6985] Re:「Self-XSSはブラウザの脆弱性か」

記事個別表示 (6985)

これは「水無月ばけらのえび日記 : Self-XSSはブラウザの脆弱性か」に関連するコメントです。

[6985] Re:「Self-XSSはブラウザの脆弱性か」

えむけい (2011年11月21日 10時12分)

> 攻撃者には「javascript:と入力してからコピーしてください」という指示をする余地もあるので、この対策で万全なのかと言われると微妙なところです。

そもそも「このURLをアドレスバーにコピーしてください」という指示をしているわけではないのです。

「ここをクリックしてCtrlキーを押しながら隠しコマンドA、C、L、V、Enterと入力すると裏Facebookへの入口が(以下略)」という感じです。

日本なら隠しコマンドを「カナ入力モードにしてチソリヒ」とかにすると引っかかる確率がさらに高くなるかもしれません。ローマ字入力ならタッチタイプできる人でもキーボードに目を奪われますし。少なくともFirefox 8ではカナ入力モードでも攻撃は成立するようです。

これは「水無月ばけらのえび日記 : Self-XSSはブラウザの脆弱性か」に関連するコメントです。
全読: [6983]Re:「Self-XSSはブラウザの脆弱性か」からのスレッド(4件)]
- [6983] Re:「Self-XSSはブラウザの脆弱性か」 : moscript (2011年11月21日 6時28分)
  - [6984] Re:「Self-XSSはブラウザの脆弱性か」 : えむけい (2011年11月21日 9時54分)
- [6985] Re:「Self-XSSはブラウザの脆弱性か」 : えむけい (2011年11月21日 10時12分)
- [6986] Re:「Self-XSSはブラウザの脆弱性か」 : sen-u (2011年11月21日 18時13分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >> 攻撃者には「javascript:と入力してからコピーしてください」という指示をする余地もあるので、この対策で万全なのかと言われると微妙なところです。 >そもそも「このURLをアドレスバーにコピーしてください」という指示をしているわけではないのです。 >「ここをクリックしてCtrlキーを押しながら隠しコマンドA、C、L、V、Enterと入力すると裏Facebookへの入口が(以下略)」という感じです。 >日本なら隠しコマンドを「カナ入力モードにしてチソリヒ」とかにすると引っかかる確率がさらに高くなるかもしれません。ローマ字入力ならタッチタイプできる人でもキーボードに目を奪われますし。少なくともFirefox 8ではカナ入力モードでも攻撃は成立するようです。

新生鳩丸掲示板♯

記事個別表示 (6985)

[6985] Re:「Self-XSSはブラウザの脆弱性か」