■ - hoshikuzu | star_dust の書斎
■Operaにおけるアドレスバーあるいはステータスバー偽装可能のポテンシャリティー Operaにおいてアドレスバーないしステータスバーないしリンクアンカーへのオンマウスオーバー時のポップアップにおけるリンク先アドレスなどが偽装可能かも(JavaScript不要) 実際のところ、どこまで悪意ある者がコストをかけてまでアドレスバー偽装等を試みるのか不明といいますか、シェアを考えると、むしろしないだろうなぁと思っているところではあります。せっかく乗っ取った攻撃用サーバを無駄にしますから。…悪意ある者がコストを意識しなければの前提で、気がかりなので、かなり考えた末ですが公共の福利の為に発表してしまいます。Operaの未来の為に。ユーザが安心してブラウザを選択できる未来の為に。 以下に《実際にはコスト的にみて無効であろう》Operaのアドレスバー偽装について論及します。まずは具体的なPoCについて記
http://www.st.ryukoku.ac.jp/~kjm/test/20051118.html
IE / Opera ステータスバー偽造ねた テストページ SA17565: Internet Explorer Image Control Status Bar Spoofing Weakness (Secunia) SA17571: Opera Image Control Status Bar Spoofing Weakness (Secunia) SA17618: Safari Image Control Status Bar Spoofing Weakness (Secunia) 画像↓をクリックしてください。 http://www.microsoft.com/japan/ に行くように見えますが、 IE 5.01 / 6.x, Opera 8.x, Safari 2.x では http://www.st.ryukoku.ac.jp/~kjm/ に行ってしまうようです。 Mozil
IEやOperaにステータス・バーを偽装できる問題
デンマークSecuniaは現地時間11月16日,Internet Explorer(IE)やOperaにステータス・バーを偽装できる問題(弱点)が見つかったことを明らかにした。スクリプトを使わずに,画像に張られたリンク先を偽装できる。 【11月18日追記】Secuniaは現地時間11月17日,Webブラウザ「Safari」にも同様の問題があることを,明らかにした。【以上,11月18日追記】 リンクが張られた画像ファイルをWebブラウザで表示させた場合,その画像部分にマウス・カーソルを当てると,リンクの飛び先がブラウザのステータス・バーに表示される。スクリプトを使えば,ステータス・バーの表示を任意に変更できるものの,スクリプトを無効にしていれば,ステータス・バーには飛び先のURLが表示される。 今回見つかった問題は,スクリプトを使わずに,実際の飛び先とは異なるURLをステータス・バーに表示で
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
