アカウント名:
パスワード:
だから、File APIで何がより危険になるんですか?なんだか変な勘違いしている人が多すぎるのですが、今までももしユーザーが<input type="file">にファイルを指定したら、それを勝手にJavaScriptでアップロードすることはできました。> もう嫌な予感というか予測しか出てこないですちゃんと理由を説明できないならそういうのは杞憂とか妄想と言います。
「このページでは、JavaScriptによってファイルを読み取るので、外部に情報が漏洩する事はありません」といった詐欺広告文句で、なんらかプライベートなファイルに対してJavaScriptで処理させる。
その後(当然、なんらかの処理をした後に画面が遷移する)のページで、HIDDEN属性でファイルの(さらに言えば、JavaScript処理の中で、暗号化するなど)内容を保持したまま、次にだれもが押しそうなボタンが、実はHIDDEN情報を外部サーバに送信するフォームボタンになっているとか。
今までなら、まずJavaScriptでファイルを処理できないので詐欺広告はうてない。次に、ファイルストリームを暗号化して、途中経路(IDSやIPS、最近ではクレジットカード番号に似た番号の外部送信をみつけるような機器もありますね)で見つかる事無く、送信できる。
そんなに難しいことをしなくても、サーバに情報を送るだけなら1ピクセルの透明画像貼り付ければOKですよ。POST以外でも情報を送る事は可能です。分割すれば大容量にも対応できます。HTTPSならさらに安全です。昔から色々な所で使われてる技術です。え?ブロックされている?じゃ、2ピクセルで。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
利便性より危険性 (スコア:1)
デフォルトでOFF できればUACみたいなの希望です
#アンチウイルスソフトでブロックするのが常識、とかいう未来は嫌ですね
Re: (スコア:0)
だから、File APIで何がより危険になるんですか?
なんだか変な勘違いしている人が多すぎるのですが、今までももしユーザーが<input type="file">にファイルを指定したら、それを勝手にJavaScriptでアップロードすることはできました。
> もう嫌な予感というか予測しか出てこないです
ちゃんと理由を説明できないならそういうのは杞憂とか妄想と言います。
Re: (スコア:0)
「このページでは、JavaScriptによってファイルを読み取るので、
外部に情報が漏洩する事はありません」といった詐欺広告文句で、
なんらかプライベートなファイルに対してJavaScriptで処理させる。
その後(当然、なんらかの処理をした後に画面が遷移する)のページで、
HIDDEN属性でファイルの(さらに言えば、JavaScript処理の中で、暗号化するなど)
内容を保持したまま、次にだれもが押しそうなボタンが、実はHIDDEN情報を外部サーバに
送信するフォームボタンになっているとか。
今までなら、まずJavaScriptでファイルを処理できないので詐欺広告はうてない。
次に、ファイルストリームを暗号化して、途中経路(IDSやIPS、最近ではクレジットカード番号に似た
番号の外部送信をみつけるような機器もありますね)で見つかる事無く、送信できる。
Re:利便性より危険性 (スコア:0)
そんなに難しいことをしなくても、サーバに情報を送るだけなら1ピクセルの透明画像貼り付ければOKですよ。
POST以外でも情報を送る事は可能です。分割すれば大容量にも対応できます。HTTPSならさらに安全です。
昔から色々な所で使われてる技術です。え?ブロックされている?じゃ、2ピクセルで。