アカウント名:
パスワード:
特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。
そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果たして他のユーザーが接続できなくなっったりします。CloudFlare入れてても、秒間20リクエストとかなら普通検知しないので、バックエンドデータベースで障害が起こることがあります。DoS対策がされているサイトならば、DoS攻撃判定されて、そのユーザーのIPアドレスはファイアウォールレベルでブロックされて接続できなくなります。日本だと、日本の某図書館事件のように、利用者がDoS攻撃したと誤認識されて、逮捕されるリスクまであります。
Firefoxはシェアが少ないので、もうクエリーまで弄られると対応が面倒なので、UserAgent でブロックするようなサイトも増えてくるでしょう。こういうやり方は誰の利益にもならないと思います。
We will only strip the query string if it is redirecting to a third-party URI in the top level.
https://github.com/mozilla/gecko-dev/blob/388ea3d22361b97c7f81d02757a1... [github.com]ということでご指摘のexample.com/?lang=ja -> example.com -> example.com/?lang=ja -> exmaple.com -> 最初に戻るみたいなループは発生しません。
さらに言うと削除されるパラメーターはdenylist方式でトラッキング用のもののみが削除されるようになっているのでlangみたいな一般的なパラメーターはサードパーティーへのリダイレクトであっても削除されません。
# 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
> # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
最近で言うとこれ [srad.jp]のことかな最近と言わず結構前から張り付いてる気がしますね逆張りと重箱の隅突きが癖になってるんでしょうね
最近「ソーシャルスキル未発達で反抗期を今更やってるおっさん」って言われる輩だなとにかく負けが見えてても逆を張る「反○○」のラベルが貰えるものは何でも張る奴ら
本来マイナスモデとかシャドウバンってこういう害悪のためにあるんだけどな書き込むだけで満たされ、否定されると余計に快感を覚えて学習しちゃうから
特定パラメーターを除去する機能が搭載されるだけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの?
ループが発生するのは、そのリダイレクト先でもパラメーターチェックしてパラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない?
それは閲覧者の責任じゃなくサイト設計者の責任なのでは
多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。
https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス ↓ https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト
https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス ↓そのまま
普通にユー
今回のではそうならないように手が打たれているから問題ないね# 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない
Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ自分が世界一賢いと素で思ってるんだろうな
langのどこがトラッキングパラメータなのかね?
よくある設計だということならパラメータの除去でルーピングするURLのひとつでも出して、どうぞ
現実には起こり得ないリスクについて議論することは誰の利益にもならないと思います。
へえ、じゃあ俺がUserScriptでパラメータ削ってるのを15年近く前からやってるけど、リキャプチャ系でリダイレクトがループになるのは現実に起こってなかったんだね。呑気ですね。
それは「トラッキング」パラメータを削ったのですか?それは具体的にどのURLのどのパラメータですか?それはきちんと誰かにレビューしてもらったのですか?それはルーピング検知で止まらなかったのですか?それはDBの同時接続数を使い果たしたのですか?それはファイアウォールレベルでブロックされたのですか?それはDoS攻撃したと誤認識されて逮捕されたのですか?それは先行していたブラウザBraveで起こりましたか?それは先行していたアドオンClearURLsで起こりましたか?それらが本当に現実に起こったのですか? 呑気ですか?
firefoxで現実に起こり得るのかって話だろ。あんたの実装で起こったからfirefoxでも起こるって言うのなら、あんたがmozillaと同レベルの開発力を持っていることを証明してくれよ。
今時のブラウザならリダイレクトループに陥ったら強制的に止めるでしょ。今回の件関係なく。
対策済みだと言われてるでしょうが逮捕リスクとか大げさで極端なこと言うの意味不明すぎて草アンチは帰って勉強しなおせ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
リダイレクトがルーピングするリスク有り (スコア:2, 参考になる)
特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。
ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。
HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。
そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果たして他のユーザーが接続できなくなっったりします。CloudFlare入れてても、秒間20リクエストとかなら普通検知しないので、バックエンドデータベースで障害が起こることがあります。
DoS対策がされているサイトならば、DoS攻撃判定されて、そのユーザーのIPアドレスはファイアウォールレベルでブロックされて接続できなくなります。
日本だと、日本の某図書館事件のように、利用者がDoS攻撃したと誤認識されて、逮捕されるリスクまであります。
Firefoxはシェアが少ないので、もうクエリーまで弄られると対応が面倒なので、UserAgent でブロックするようなサイトも増えてくるでしょう。
こういうやり方は誰の利益にもならないと思います。
当然対策済み (スコア:4, 参考になる)
We will only strip the query string if it is redirecting to a third-party URI in the top level.
https://github.com/mozilla/gecko-dev/blob/388ea3d22361b97c7f81d02757a1... [github.com]
ということでご指摘の
example.com/?lang=ja -> example.com -> example.com/?lang=ja -> exmaple.com -> 最初に戻る
みたいなループは発生しません。
さらに言うと削除されるパラメーターはdenylist方式でトラッキング用のもののみが削除されるようになっているのでlangみたいな一般的なパラメーターはサードパーティーへのリダイレクトであっても削除されません。
# 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
Re: (スコア:0)
> # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
最近で言うとこれ [srad.jp]のことかな
最近と言わず結構前から張り付いてる気がしますね
逆張りと重箱の隅突きが癖になってるんでしょうね
Re: (スコア:0)
最近「ソーシャルスキル未発達で反抗期を今更やってるおっさん」って言われる輩だな
とにかく負けが見えてても逆を張る「反○○」のラベルが貰えるものは何でも張る奴ら
本来マイナスモデとかシャドウバンってこういう害悪のためにあるんだけどな
書き込むだけで満たされ、否定されると余計に快感を覚えて学習しちゃうから
Re:リダイレクトがルーピングするリスク有り (スコア:1)
特定パラメーターを除去する機能が搭載される
だけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの?
ループが発生するのは、そのリダイレクト先でもパラメーターチェックして
パラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない?
それは閲覧者の責任じゃなくサイト設計者の責任なのでは
Re: (スコア:0)
多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。
https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス
↓
https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト
https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス
↓
そのまま
普通にユー
Re: (スコア:0)
今回のではそうならないように手が打たれているから問題ないね
# 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない
Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ
自分が世界一賢いと素で思ってるんだろうな
Re: (スコア:0)
langのどこがトラッキングパラメータなのかね?
Re: (スコア:0)
よくある設計だということならパラメータの除去でルーピングするURLのひとつでも出して、どうぞ
Re: (スコア:0)
現実には起こり得ないリスクについて議論することは誰の利益にもならないと思います。
Re: (スコア:0)
へえ、じゃあ俺がUserScriptでパラメータ削ってるのを15年近く前からやってるけど、
リキャプチャ系でリダイレクトがループになるのは現実に起こってなかったんだね。呑気ですね。
Re: (スコア:0)
それは「トラッキング」パラメータを削ったのですか?
それは具体的にどのURLのどのパラメータですか?
それはきちんと誰かにレビューしてもらったのですか?
それはルーピング検知で止まらなかったのですか?
それはDBの同時接続数を使い果たしたのですか?
それはファイアウォールレベルでブロックされたのですか?
それはDoS攻撃したと誤認識されて逮捕されたのですか?
それは先行していたブラウザBraveで起こりましたか?
それは先行していたアドオンClearURLsで起こりましたか?
それらが本当に現実に起こったのですか? 呑気ですか?
Re: (スコア:0)
firefoxで現実に起こり得るのかって話だろ。
あんたの実装で起こったからfirefoxでも起こるって言うのなら、あんたがmozillaと同レベルの開発力を持っていることを証明してくれよ。
Re: (スコア:0)
今時のブラウザならリダイレクトループに陥ったら強制的に止めるでしょ。
今回の件関係なく。
Re: (スコア:0)
対策済みだと言われてるでしょうが
逮捕リスクとか大げさで極端なこと言うの意味不明すぎて草
アンチは帰って勉強しなおせ