アカウント名:
パスワード:
現状ミクスドコンテンツなんて技術力のない一般であって悪用としてあるわけじゃない
むしろハックされて差し込まれてる部分だけHTTPSみたいな笑えないことも
改善して無くなったほうが良いのは確かだけどお題目としての相手はとっくに外部呼び込みもHTTPSしてる
受動的コンテンツのHTTPS強制も無意味だし
# 証明書をちゃんと確認する一般人なんかいねぇよみたいな
ほんとそれな。わざわざミックス化して抵抗意思表示したいって奴も出てくるんじゃね。それ自体が重大なセキュリティリスク作ってるのでない限り、ブラウザごときがそんな個々の実装方針に口出す資格はねぇよ。
一時のIEよりも明白に邪悪だ。
なんかな。現状のIE11でさえかなり以前から混合コンテンツって既定で動作しないようになってるんだぜ。今更イメージ等を許す必然はもうないだろ。そもそも出所不明なリソースを読み込めるってのは重大なセキュリティリスクと化してるだろ。悪意あるサイトをhttps化するのは簡単だが、そもそもの脅威は通信中のリソースの差し替えへの対策なんだから悪意あるサイトがhttps化されようがどうでもいい。
しかし動画はブロックしないのか。中途半端な。
どうでもいいHTTPな外部サイトの画像を参照するたびに自前にキャッシュしたりリンク化して別タブで開いたりってーのもアホらしいっていうか危ないと思うがな。HTTPで通信内容がすり替えられて別の画像が表示される程度のリスクより、悪意があるかもしれない任意コンテンツをキャッシュして自前のサーバで配信しちゃったり、画像っぽいURLで画像じゃないコンテンツにリンクを張ってしまう方が怖い。素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?画像として読んでも問題があるエクスプロイトとかはミックス以前にHTTP全部塞がにゃ無意味だし。
素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?
何をもって変なのと判断するんだろう?
そもそもすり替えられたら困るリソースの配信は端からhttpsで行うべきで、
うん、だからhttpsにするんだよ。
「どうせてめぇらには無理だから死ね」?「雑兵の体力なんて知らねぇよボケ」?
無理なら死ね。迷惑だ。
> 何をもって変なのと判断する画像として読めない以外に現時点で破損画像扱いされるレスポンスがあるのか?HTTPサイトの画像を参照させるに当たり、imgタグで読ませればhtml帰ってきても無視されて終わりだが、リンクで直に開かせたらhtml帰ってきてスクリプト実行されて、場合によってはCSRFされてと面倒事が増えるだろうがバカめ。
> うん、だからhttpsにするんだよ。君、人の話を聞かないってよく言われるだろ。差し替えられても困らない、第三者のサーバの画像とかの話だぞ?差し替えられて困るようなリソースはhttps採用する段階でht
邪悪だと言うのは簡単だし、実際そういう側面はあるだろうけど、現実的に「邪悪じゃない」ビジネスモデルでシェアが取れるかというと疑問だし、シェアが取れなきゃ(Webサービス提供者や開発者に)相手にされないしなぁ。
邪悪なM$(笑)全盛期には誰もそんなこと言ってなかったけどね
Linuxがとって変わるって騒いでた人は一定数いたよ。
コンシューマーOSという分野では、どうなんだろうね。AndroidをLinuxの一種とみなせば、ある意味、それなりに成功している。その結果がChromeの邪悪化っていう様だけど。デスクトップOSという意味ではLinuxなんてオワコン以前にはじまってすらいないままだな。
これに関しちゃシェアって意味ではマイナスで、シェア取ってるからこそWebのルールを私物化できる類の話だろう。
IEの場合、私物化なのか囲い込みなのかただの不具合なのか判別しかねるが…
HTTP3やらQUICやらを推していく前仕込みか何かかね
「お題目としての相手」って誰? 想定してる悪用ケースが違わない?
> ミクスド
# 今朝のシンカリオンの再放送でアドバンスドモードがお披露目
えー、iframeでst-hatenaとか読み込まれるたびにCPUがガンガン走り出して、熱い空気が排気口から噴き出すんだよ。もうやめてほしいわ。
えー、iframeでst-hatenaとか読み込まれるたびにCPUがガンガン走り出して、熱い空気が排気口から噴き出すんだよ。
HTTPSで読み込まれてるものは今後もスルーなわけだが
そういうのは拡張機能「uMatrix」等を入れて、same-origin以外のiframeをブロックするといいよ
Manifest v3で独自のブロックポリシーを持つ拡張機能は終了のお知らせでしょ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
実効性はないな (スコア:0)
現状ミクスドコンテンツなんて
技術力のない一般であって
悪用としてあるわけじゃない
むしろハックされて
差し込まれてる部分だけHTTPS
みたいな笑えないことも
改善して無くなったほうが良いのは確かだけど
お題目としての相手はとっくに外部呼び込みもHTTPSしてる
受動的コンテンツのHTTPS強制も無意味だし
# 証明書をちゃんと確認する一般人なんかいねぇよみたいな
Re: (スコア:0)
ほんとそれな。
わざわざミックス化して抵抗意思表示したいって奴も出てくるんじゃね。
それ自体が重大なセキュリティリスク作ってるのでない限り、
ブラウザごときがそんな個々の実装方針に口出す資格はねぇよ。
一時のIEよりも明白に邪悪だ。
Re:実効性はないな (スコア:1)
なんかな。
現状のIE11でさえかなり以前から混合コンテンツって既定で動作しないようになってるんだぜ。
今更イメージ等を許す必然はもうないだろ。
そもそも出所不明なリソースを読み込めるってのは重大なセキュリティリスクと化してるだろ。
悪意あるサイトをhttps化するのは簡単だが、そもそもの脅威は通信中のリソースの差し替えへの対策なんだから悪意あるサイトがhttps化されようがどうでもいい。
しかし動画はブロックしないのか。中途半端な。
Re: (スコア:0)
どうでもいいHTTPな外部サイトの画像を参照するたびに自前にキャッシュしたり
リンク化して別タブで開いたりってーのもアホらしいっていうか危ないと思うがな。
HTTPで通信内容がすり替えられて別の画像が表示される程度のリスクより、
悪意があるかもしれない任意コンテンツをキャッシュして自前のサーバで配信しちゃったり、
画像っぽいURLで画像じゃないコンテンツにリンクを張ってしまう方が怖い。
素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?
画像として読んでも問題があるエクスプロイトとかはミックス以前にHTTP全部塞がにゃ無意味だし。
Re: (スコア:0)
素直に外部画像として読み込んで変なの来たら破損画像扱いする方が遥かに安全じゃない?
何をもって変なのと判断するんだろう?
そもそもすり替えられたら困るリソースの配信は端からhttpsで行うべきで、
うん、だからhttpsにするんだよ。
「どうせてめぇらには無理だから死ね」?「雑兵の体力なんて知らねぇよボケ」?
無理なら死ね。迷惑だ。
Re: (スコア:0)
> 何をもって変なのと判断する
画像として読めない以外に現時点で破損画像扱いされるレスポンスがあるのか?
HTTPサイトの画像を参照させるに当たり、
imgタグで読ませればhtml帰ってきても無視されて終わりだが、
リンクで直に開かせたらhtml帰ってきてスクリプト実行されて、
場合によってはCSRFされてと面倒事が増えるだろうがバカめ。
> うん、だからhttpsにするんだよ。
君、人の話を聞かないってよく言われるだろ。
差し替えられても困らない、第三者のサーバの画像とかの話だぞ?
差し替えられて困るようなリソースはhttps採用する段階でht
Re: (スコア:0)
邪悪だと言うのは簡単だし、実際そういう側面はあるだろうけど、現実的に「邪悪じゃない」ビジネスモデルでシェアが取れるかというと疑問だし、シェアが取れなきゃ(Webサービス提供者や開発者に)相手にされないしなぁ。
Re: (スコア:0)
邪悪なM$(笑)全盛期には誰もそんなこと言ってなかったけどね
Re: (スコア:0)
邪悪なM$(笑)全盛期には誰もそんなこと言ってなかったけどね
Linuxがとって変わるって騒いでた人は一定数いたよ。
コンシューマーOSという分野では、どうなんだろうね。
AndroidをLinuxの一種とみなせば、ある意味、それなりに成功している。その結果がChromeの邪悪化っていう様だけど。
デスクトップOSという意味ではLinuxなんてオワコン以前にはじまってすらいないままだな。
Re: (スコア:0)
これに関しちゃシェアって意味ではマイナスで、
シェア取ってるからこそWebのルールを私物化できる類の話だろう。
IEの場合、私物化なのか囲い込みなのかただの不具合なのか判別しかねるが…
Re: (スコア:0)
HTTP3やらQUICやらを推していく前仕込みか何かかね
Re: (スコア:0)
「お題目としての相手」って誰? 想定してる悪用ケースが違わない?
Re: (スコア:0)
> ミクスド
# 今朝のシンカリオンの再放送でアドバンスドモードがお披露目
Re: (スコア:0)
えー、iframeでst-hatenaとか読み込まれるたびにCPUがガンガン走り出して、熱い空気が排気口から噴き出すんだよ。
もうやめてほしいわ。
Re: (スコア:0)
えー、iframeでst-hatenaとか読み込まれるたびにCPUがガンガン走り出して、熱い空気が排気口から噴き出すんだよ。
HTTPSで読み込まれてるものは今後もスルーなわけだが
Re: (スコア:0)
そういうのは拡張機能「uMatrix」等を入れて、same-origin以外のiframeをブロックするといいよ
Re: (スコア:0)
Manifest v3で独自のブロックポリシーを持つ拡張機能は終了のお知らせでしょ?