アカウント名:
パスワード:
特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。
そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果たして他のユーザーが接続できなくなっったりします。CloudFlare入れてても、秒間20リクエストとかなら普通検知しないので、バックエンドデータベースで障害が起こることがあります。DoS対策がされているサイトならば、DoS攻撃判定されて、そのユーザーのIPアドレスはファイアウォールレベルでブロックされて接続できなくなります。日本だと、日本の某図書館事件のように、利用者がDoS攻撃したと誤認識されて、逮捕されるリスクまであります。
Firefoxはシェアが少ないので、もうクエリーまで弄られると対応が面倒なので、UserAgent でブロックするようなサイトも増えてくるでしょう。こういうやり方は誰の利益にもならないと思います。
We will only strip the query string if it is redirecting to a third-party URI in the top level.
https://github.com/mozilla/gecko-dev/blob/388ea3d22361b97c7f81d02757a1... [github.com]ということでご指摘のexample.com/?lang=ja -> example.com -> example.com/?lang=ja -> exmaple.com -> 最初に戻るみたいなループは発生しません。
さらに言うと削除されるパラメーターはdenylist方式でトラッキング用のもののみが削除されるようになっているのでlangみたいな一般的なパラメーターはサードパーティーへのリダイレクトであっても削除されません。
# 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
> # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
最近で言うとこれ [srad.jp]のことかな最近と言わず結構前から張り付いてる気がしますね逆張りと重箱の隅突きが癖になってるんでしょうね
最近「ソーシャルスキル未発達で反抗期を今更やってるおっさん」って言われる輩だなとにかく負けが見えてても逆を張る「反○○」のラベルが貰えるものは何でも張る奴ら
本来マイナスモデとかシャドウバンってこういう害悪のためにあるんだけどな書き込むだけで満たされ、否定されると余計に快感を覚えて学習しちゃうから
特定パラメーターを除去する機能が搭載されるだけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの?
ループが発生するのは、そのリダイレクト先でもパラメーターチェックしてパラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない?
それは閲覧者の責任じゃなくサイト設計者の責任なのでは
多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。
https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス ↓ https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト
https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス ↓そのまま
普通にユー
今回のではそうならないように手が打たれているから問題ないね# 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない
Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ自分が世界一賢いと素で思ってるんだろうな
langのどこがトラッキングパラメータなのかね?
よくある設計だということならパラメータの除去でルーピングするURLのひとつでも出して、どうぞ
現実には起こり得ないリスクについて議論することは誰の利益にもならないと思います。
へえ、じゃあ俺がUserScriptでパラメータ削ってるのを15年近く前からやってるけど、リキャプチャ系でリダイレクトがループになるのは現実に起こってなかったんだね。呑気ですね。
それは「トラッキング」パラメータを削ったのですか?それは具体的にどのURLのどのパラメータですか?それはきちんと誰かにレビューしてもらったのですか?それはルーピング検知で止まらなかったのですか?それはDBの同時接続数を使い果たしたのですか?それはファイアウォールレベルでブロックされたのですか?それはDoS攻撃したと誤認識されて逮捕されたのですか?それは先行していたブラウザBraveで起こりましたか?それは先行していたアドオンClearURLsで起こりましたか?それらが本当に現実に起こったのですか? 呑気ですか?
firefoxで現実に起こり得るのかって話だろ。あんたの実装で起こったからfirefoxでも起こるって言うのなら、あんたがmozillaと同レベルの開発力を持っていることを証明してくれよ。
今時のブラウザならリダイレクトループに陥ったら強制的に止めるでしょ。今回の件関係なく。
対策済みだと言われてるでしょうが逮捕リスクとか大げさで極端なこと言うの意味不明すぎて草アンチは帰って勉強しなおせ
独占禁止法案件じゃねーの
Firefoxサポート終了したクソサイト共がな
Firefoxが市場を独占している世界線から来た人ですか?
Chromeがやりだしたら言ってくれ
URLのクエリパラメータはトラッキング以外の目的で使われているものの方が多くそれを除去したらまともに動かないサイトは山のようにあるから「特定のサイトの特定のパラメータだけ除去」なブラックリスト方式でないと使い物にならないと思うぞ。
ClearURLs [mozilla.org]の組み込み化みたいな話かと思って比較してみましたが、フィルタルールが全然違うみたいですね。# 上記のURLにもトラッキングパラメーターが付いていますが、Firefoxアドオンはaddons.mozilla.orgドメインでの動作に制限があるのでClearURLsが仕事してくれない……ClearURLsではMarketo の「mkt_tok」とMeta(Facebook)の「fbclid」、Google のクリック ID「gclid」は除去しますが、「oly_enc_id」「oly_anon_id」「__s」「vero_id」「_hsenc」「mc_eid」「msclkid」は除去できてないので、ちょうどFirefox 102の強化型トラッキング防止機能と補完関係になってます。気になる人は両方有効にするのが良さそうですね。
ClearURLs [mozilla.org]
addons.mozilla.orgに載せているのはdev.roebert.euなのに入れたアドオンのドメインではdocs.clearurls.xyzってのがなんとも中身まで精査してないけど人様に推奨は控えたいかんじかな
# なんで敢えてアダルト御用達ドメイン使うんだろう
xxx じゃなくて?xyz は技術系か,スパマーのイメージ.
https://abc.xyz/ [abc.xyz]
.xyzは初年度安いから適当にドメイン取って人気出たのでそのまま更新続けてるだけでしょう
NeatURL [mozilla.org]だと、削りたいパラメーターを条件含めて細かく設定できるよ。
4年前からbugラベルの付いたissue立ってるけどドメインのワイルドカード処理がダメダメでjp ccTLDで使いにくいんだよね
でもその拡張機能もいずれはSimilarWebに買収されて情報抜くんだろ?知ってる
NHKプラスはUA偽装しても見られなくなったな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
リダイレクトがルーピングするリスク有り (スコア:2, 参考になる)
特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。
ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。
HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。
そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果たして他のユーザーが接続できなくなっったりします。CloudFlare入れてても、秒間20リクエストとかなら普通検知しないので、バックエンドデータベースで障害が起こることがあります。
DoS対策がされているサイトならば、DoS攻撃判定されて、そのユーザーのIPアドレスはファイアウォールレベルでブロックされて接続できなくなります。
日本だと、日本の某図書館事件のように、利用者がDoS攻撃したと誤認識されて、逮捕されるリスクまであります。
Firefoxはシェアが少ないので、もうクエリーまで弄られると対応が面倒なので、UserAgent でブロックするようなサイトも増えてくるでしょう。
こういうやり方は誰の利益にもならないと思います。
当然対策済み (スコア:4, 参考になる)
We will only strip the query string if it is redirecting to a third-party URI in the top level.
https://github.com/mozilla/gecko-dev/blob/388ea3d22361b97c7f81d02757a1... [github.com]
ということでご指摘の
example.com/?lang=ja -> example.com -> example.com/?lang=ja -> exmaple.com -> 最初に戻る
みたいなループは発生しません。
さらに言うと削除されるパラメーターはdenylist方式でトラッキング用のもののみが削除されるようになっているのでlangみたいな一般的なパラメーターはサードパーティーへのリダイレクトであっても削除されません。
# 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
Re: (スコア:0)
> # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
最近で言うとこれ [srad.jp]のことかな
最近と言わず結構前から張り付いてる気がしますね
逆張りと重箱の隅突きが癖になってるんでしょうね
Re: (スコア:0)
最近「ソーシャルスキル未発達で反抗期を今更やってるおっさん」って言われる輩だな
とにかく負けが見えてても逆を張る「反○○」のラベルが貰えるものは何でも張る奴ら
本来マイナスモデとかシャドウバンってこういう害悪のためにあるんだけどな
書き込むだけで満たされ、否定されると余計に快感を覚えて学習しちゃうから
Re:リダイレクトがルーピングするリスク有り (スコア:1)
特定パラメーターを除去する機能が搭載される
だけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの?
ループが発生するのは、そのリダイレクト先でもパラメーターチェックして
パラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない?
それは閲覧者の責任じゃなくサイト設計者の責任なのでは
Re: (スコア:0)
多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。
https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス
↓
https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト
https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス
↓
そのまま
普通にユー
Re: (スコア:0)
今回のではそうならないように手が打たれているから問題ないね
# 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない
Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ
自分が世界一賢いと素で思ってるんだろうな
Re: (スコア:0)
langのどこがトラッキングパラメータなのかね?
Re: (スコア:0)
よくある設計だということならパラメータの除去でルーピングするURLのひとつでも出して、どうぞ
Re: (スコア:0)
現実には起こり得ないリスクについて議論することは誰の利益にもならないと思います。
Re: (スコア:0)
へえ、じゃあ俺がUserScriptでパラメータ削ってるのを15年近く前からやってるけど、
リキャプチャ系でリダイレクトがループになるのは現実に起こってなかったんだね。呑気ですね。
Re: (スコア:0)
それは「トラッキング」パラメータを削ったのですか?
それは具体的にどのURLのどのパラメータですか?
それはきちんと誰かにレビューしてもらったのですか?
それはルーピング検知で止まらなかったのですか?
それはDBの同時接続数を使い果たしたのですか?
それはファイアウォールレベルでブロックされたのですか?
それはDoS攻撃したと誤認識されて逮捕されたのですか?
それは先行していたブラウザBraveで起こりましたか?
それは先行していたアドオンClearURLsで起こりましたか?
それらが本当に現実に起こったのですか? 呑気ですか?
Re: (スコア:0)
firefoxで現実に起こり得るのかって話だろ。
あんたの実装で起こったからfirefoxでも起こるって言うのなら、あんたがmozillaと同レベルの開発力を持っていることを証明してくれよ。
Re: (スコア:0)
今時のブラウザならリダイレクトループに陥ったら強制的に止めるでしょ。
今回の件関係なく。
Re: (スコア:0)
対策済みだと言われてるでしょうが
逮捕リスクとか大げさで極端なこと言うの意味不明すぎて草
アンチは帰って勉強しなおせ
特定のサイトだけパラメータそのままってのは (スコア:1)
独占禁止法案件じゃねーの
Re:特定のサイトだけパラメータそのままってのは (スコア:1)
Firefoxサポート終了したクソサイト共がな
Re: (スコア:0)
Firefoxが市場を独占している世界線から来た人ですか?
Re: (スコア:0)
Chromeがやりだしたら言ってくれ
Re: (スコア:0)
URLのクエリパラメータはトラッキング以外の目的で使われているものの方が多く
それを除去したらまともに動かないサイトは山のようにあるから
「特定のサイトの特定のパラメータだけ除去」なブラックリスト方式でないと使い物にならないと思うぞ。
ClearURLsアドオンで補完するとイイ感じ (スコア:0)
ClearURLs [mozilla.org]の組み込み化みたいな話かと思って比較してみましたが、フィルタルールが全然違うみたいですね。
# 上記のURLにもトラッキングパラメーターが付いていますが、Firefoxアドオンはaddons.mozilla.orgドメインでの動作に制限があるのでClearURLsが仕事してくれない……
ClearURLsではMarketo の「mkt_tok」とMeta(Facebook)の「fbclid」、Google のクリック ID「gclid」は除去しますが、「oly_enc_id」「oly_anon_id」「__s」「vero_id」「_hsenc」「mc_eid」「msclkid」は除去できてないので、ちょうどFirefox 102の強化型トラッキング防止機能と補完関係になってます。気になる人は両方有効にするのが良さそうですね。
Re: (スコア:0)
ClearURLs [mozilla.org]
addons.mozilla.orgに載せているのはdev.roebert.euなのに
入れたアドオンのドメインではdocs.clearurls.xyzってのがなんとも
中身まで精査してないけど人様に推奨は控えたいかんじかな
# なんで敢えてアダルト御用達ドメイン使うんだろう
Re: (スコア:0)
xxx じゃなくて?
xyz は技術系か,スパマーのイメージ.
https://abc.xyz/ [abc.xyz]
Re: (スコア:0)
.xyzは初年度安いから適当にドメイン取って人気出たのでそのまま更新続けてるだけでしょう
ガンガン削りたい人にはNeatURLがお薦め (スコア:0)
NeatURL [mozilla.org]だと、削りたいパラメーターを条件含めて細かく設定できるよ。
Re: (スコア:0)
4年前からbugラベルの付いたissue立ってるけどドメインのワイルドカード処理がダメダメでjp ccTLDで使いにくいんだよね
Re: (スコア:0)
でもその拡張機能もいずれはSimilarWebに買収されて情報抜くんだろ?知ってる
Re:もうそろそろFirefrox自体が (スコア:1)
NHKプラスはUA偽装しても見られなくなったな。