アカウント名:
パスワード:
セキュリティの知識のある人:なぜ当該サイトがSSLじゃないのか理解できずに戸惑う
知識のない人:問題があることに気づかない
警告マークが出ればどちらのユーザも適切な情報を受け取れるんだから、そのほうがいいのでは。
従来「警告マーク付きの錠アイコン」(マイナーエラー)が表示されていたWebページの安全性は、
[←安全] (普通の錠アイコン) ≧ (警告マーク付きの錠アイコン) ≧ (平文のHTTP接続) [危険→]
※ただし、如何なる場合も (普通の錠アイコン) > (平文のHTTP接続) となる。
といった感じでした。
例えば、暗号化されたページに非暗号の外部ドメインのトラッキング用Webビーコン画像(1x1 px)が置かれていることよって生じたマイナーエラーは事実上の危険はなく「普通の錠アイコン」の場合と同等の安全性ですが(同一ドメインなら不正なCookieの操作
> 暗号化されたページに非暗号の外部ドメインのトラッキング用Webビーコン画像(1x1 px)が置かれていることよって生じたマイナーエラーは事実上の危険はなく
この時点で,間違ってますよ
確かに、ブラウザに脆弱性があるならば、悪意のある画像によってスクリプトが実行されてしまうといった問題が生じるかもしれません。
しかし、img要素はクロスドメインで使うことが前提となっているので、ブラウザに脆弱性が無い限り、表示画像を差し替えること(大きな画像なら偽情報を表示させユーザーを騙すことが可能だけど1px*1pxなら不可)と、画像の配信元ドメインの権限でCookieを読み書きすることぐらいしかできなかったと思うんですが、ひょっとして他に攻撃方法はありますか?
img要素のsrc属性で指定されたファイルの Content-Type を text/javascript などにしたところで、スクリプトは実行されません。
なぜimg要素限定なのでしょうか。script要素だってクロスドメインが前提だと思いますが。でなければ、JSONPが流行るわけもないし。
実際、地図業界ではJSONPが流行り過ぎて、セキュリティの整合性を取るのに苦労すると思います。
というか、フィッシングサイトのことを考えるとimg要素だけでもわりと危険ですよ。人間は字と画像しか見てないので。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
警告マークも出ないの? (スコア:1)
セキュリティの知識のある人:
なぜ当該サイトがSSLじゃないのか理解できずに戸惑う
知識のない人:
問題があることに気づかない
警告マークが出ればどちらのユーザも適切な情報を受け取れるんだから、そのほうがいいのでは。
シンプルになって良かったと思う (スコア:3)
従来「警告マーク付きの錠アイコン」(マイナーエラー)が表示されていたWebページの安全性は、
[←安全] (普通の錠アイコン) ≧ (警告マーク付きの錠アイコン) ≧ (平文のHTTP接続) [危険→]
※ただし、如何なる場合も (普通の錠アイコン) > (平文のHTTP接続) となる。
といった感じでした。
例えば、暗号化されたページに非暗号の外部ドメインのトラッキング用Webビーコン画像(1x1 px)が置かれていることよって生じたマイナーエラーは事実上の危険はなく「普通の錠アイコン」の場合と同等の安全性ですが(同一ドメインなら不正なCookieの操作
Re: (スコア:0)
> 暗号化されたページに非暗号の外部ドメインのトラッキング用Webビーコン画像(1x1 px)が置かれていることよって生じたマイナーエラーは事実上の危険はなく
この時点で,間違ってますよ
Re:シンプルになって良かったと思う (スコア:2)
確かに、ブラウザに脆弱性があるならば、悪意のある画像によってスクリプトが実行されてしまうといった問題が生じるかもしれません。
しかし、img要素はクロスドメインで使うことが前提となっているので、ブラウザに脆弱性が無い限り、表示画像を差し替えること(大きな画像なら偽情報を表示させユーザーを騙すことが可能だけど1px*1pxなら不可)と、画像の配信元ドメインの権限でCookieを読み書きすることぐらいしかできなかったと思うんですが、ひょっとして他に攻撃方法はありますか?
img要素のsrc属性で指定されたファイルの Content-Type を text/javascript などにしたところで、スクリプトは実行されません。
Re: (スコア:0)
なぜimg要素限定なのでしょうか。script要素だってクロスドメインが前提だと思いますが。でなければ、JSONPが流行るわけもないし。
実際、地図業界ではJSONPが流行り過ぎて、セキュリティの整合性を取るのに苦労すると思います。
というか、フィッシングサイトのことを考えるとimg要素だけでもわりと危険ですよ。人間は字と画像しか見てないので。