- - PR -
【情報】今IEが…危険を通り越してしゃれになっておりません
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2003-12-24 12:36
ども。がるです。
ををなんと。 通常のテキストエディタではバイナリ入力出来ないだろうってことで、 0.1mmくらい敷居の高いホールだと思っていたのですが。
ありますねぇ。IE6だと壮絶に怖い挙動するみたいです。 なんかIE6、今本気でしゃれにならないくらい危険ですね ;; | ||||||||
|
投稿日時: 2003-12-24 14:22
ほむらさん
確かに、テキストだけでもできますね...うーむ。 URLのデコーダ?に問題があるんですかね? | ||||||||
|
投稿日時: 2003-12-24 14:41
ども、ほむらです。
URLのデコードした後の問題ですね。 僕はデコードそのものの問題ではないと考えています。 ---------- なか-chan氏へ
URL偽装に関する脆弱性については 記述そのものは正当な為に回避が難しいということになっています ここでいう脆弱性とは例よって拡大解釈のせいです。 ieは@以前の本来ユーザー名として処理しなければならないところの解釈に 問題あるらしいですね。 さすがにURLの表示の脆弱性はieだけのようですがステータスバーなどは 他のブラウザでも再現するようです。。。 まぁブラウザではあまりこんな使い方しませんしねー。 たまに、FTPサイトをのぞく時に使用しますけど #ie5よりもie6の方がこの脆弱性に関してはひどいらしいです。 #ie6の場合デコードした後のものがURLに表示されるとか。。。。 #ie5の環境持ってないので未確認。 | ||||||||
|
投稿日時: 2003-12-24 15:28
どこかでこのホールを紹介していたページには、「クレジットカードの番号と名前、および暗証番号を詐取できる」とありましたよ。もっと怖い。。。
| ||||||||
|
投稿日時: 2003-12-24 15:55
ども。がるです。
ですねぇ。ちょっとした人心誘導技術があればかなり簡単に。 プログラムだけなら一日かからずに作れそうだし。 後は、銀行系で「暗証番号取得」とかがココロトキメク感じでしょうか? 今回のホールとは違うやつらしいのですが、VISAカード系詐称のMailが 出回ってるとかいう話も聞きますし。 今回のホールの悪用も間近…なのかもしれません。 たまに思う。自分に倫理観がなければ物騒なものをずいぶん量産している んだろうなぁ、と(苦笑 | ||||||||
|
投稿日時: 2003-12-24 16:57
マイクロソフト、相次いで発見されたパッチ未公開脆弱性の見解を語る
http://internet.watch.impress.co.jp/cda/special/2003/12/24/1593.html だそうです。↑上のリンクは偽装されていません。(笑) | ||||||||
|
投稿日時: 2003-12-24 17:33
ども。がるです。
http://internet.watch.impress.co.jp/cda/special/2003/12/24/1593.html で
とあるので、期待しておきましょう。 一応危険だとの認識は(外面だけにしたところで)あるようなので。 少なくとも http://internet.watch.impress.co.jp/cda/news/2003/12/11/1451.html の
とか寝ぼけた発言をされるよりは十分にましか、と。 …願わくばこの変わりっぷりが「一部でユーザが騒ぎまくってるから」 ではないことを祈ってみたかったり。 面倒だからやってませんが。12月に入ってからのSPAMで@でgrepしたら なにか出てくるかなぁ、とかちょっと期待してみたり。 メールアドレスが鬼のように引っかかりそうなので http[s]{0,1}://.*[@] とかにしないと面倒が増えそうですが :-P # 正規表現、そらで書くには自信がないので有識者の突っ込み求む ^^; なにかやばげなSPAMとか見つけたらまた投稿します〜 | ||||||||
|
投稿日時: 2003-12-24 22:54
遅い話で恐縮ですが:
Outlook云々の、個別のメーラが OK/NG という捉え方だけだと、やや危険? HTML メールを表示できるメーラがあって、メーラから起動されるブラウザが IE になっているだけで…… フィッシングサイト(詐称サイト)へのアクセスか どうかが ほとんどわからない、って状況でしょう。 (※ <pre> タグで固定長にして、問題の偽装を href のリンク先に指定して 素のテキスト内の URLリンクに見せかけた HTML メールを書いて、自分に 送ってみました。 …… HTML メールかどうか、パッと見わからなくて怖かったです(汗)。 当然、ステータスバーには偽装 URL しか表示されないので……(滝汗)。 〔実験メーラ: Netscape7.1付属, 実験用Outlook Express〕 ) ま、なんにしろ一番危険なのは、Outlook系 + IE な環境で HTMLメールを読む こと……って世の中的には大多数? |