過去ログ表示


過去ログ 76 を表示

トピック内全 10 記事中の 1 〜 10 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0]

URL を詐称するリンクが作成可能
(#11548) このトピック中1番目の投稿
(環境: Linux/FirefoxPR)

セキュリティホール memo
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/10.html#20041029_URL
より
--- ここから ---
<a href="http://www.microsoft.com/"><table><tr><td><a href="http://www.google.com/">Click here</a></td></tr></table></a>
Firefox0.10.1でも、ステータスバーへのリンク先表示がmicrosoftになります。
このとき、リンクをクリックする方法によって、
1)同一ウインドウで表示させると、ステータスバーどおりでmicrosoft
2)他のタブや新ウインドウで表示させると、ステータスバーの内容に反してgoogle
のような挙動を示しました。
--- ここまで ---

Firefox/0.10.1 for Linux でも再現します。
Firefox 1.0 RC 1 ではどうなんでしょうか。

Re[1]: URL を詐称するリンクが作成可能
(#11549) このトピック中2番目の投稿
(環境: Win2000/Mozilla1.7)

Mozilla/5.0 (Windows; U; Windows NT 5.0; ja-JP; rv:1.7.3) Gecko/20041027 Firefox/1.0RC1
にて動作確認しましたが、同様に

・同一ウインドウの場合――microsoft.com
・別ウインドウ、新タブの場合――google.com

でした。

別ウインドウ、新タブの場合には、ステータスバーは
onMouse時でmicrosoft.comですが、onClick時でgoogle.comになりました。

ただ、onClickでは一瞬のことなので、よほど注意していないと見逃しますね(^^ゞ

Re[1]: URL を詐称するリンクが作成可能
(#11550) このトピック中3番目の投稿
(環境: WinXP/Mozilla1.7)

私もFirefox 1.0RC1で再現しました。All-in-One gesturesという拡張の
Link tooltip機能を使用した場合、ツールチップ上にはhttp://www.google.com/
が表示されています。

Re[1]: URL を詐称するリンクが作成可能
(#11553) このトピック中4番目の投稿
(環境: WinXP/Mozilla1.7)

Opera 7.54 では " Click here " にマウスを近づけると microsoft.com、
マウスを乗せると google.com。

IE 6 SP1 では、マウスを乗せると microsoft.com。

この件に関しては、Opera 7.54 が一番、安心?

Re[1]: URL を詐称するリンクが作成可能
(#11585) このトピック中5番目の投稿
(環境: WinXP/Mozilla1.7)

再び失礼します。素人質問ですが、これは修正される「べき」問題
なのでしょうか?それとも、HTMLの文法としては正しいので挙動にも
問題はないということになるのでしょうか。

Re[2]: URL を詐称するリンクが作成可能
(#11586) このトピック中6番目の投稿
(環境: Win98/Firefox0.9.1)

2004/11/01(Mon) 17:17:05 編集(投稿者)

> 再び失礼します。素人質問ですが、これは修正される「べき」問題
> なのでしょうか?それとも、HTMLの文法としては正しいので挙動にも
> 問題はないということになるのでしょうか。

Bugzilla-orgに登録されています(Bugとして修正されるべきと思います)
https://bugzilla.mozilla.org/show_bug.cgi?id=266932 のテストケース
https://bugzilla.mozilla.org/attachment.cgi?id=164020&action=view
同様に,
https://bugzilla.mozilla.org/show_bug.cgi?id=266958 のテストケース
も同じです.

追記:とりあえずの回避策は,右クリックでContext-menuを出した際に
ステータスバーをみれば,隠れたURLが表示されます.

Re[3]: URL を詐称するリンクが作成可能
(#11588) このトピック中7番目の投稿
(環境: WinXP/Mozilla1.7)

ご返答ありがとうございます。既にBugzillaに登録されていたのですね。
回避策も教えていただき重ねてありがとうございます。


Re[3]: URL を詐称するリンクが作成可能
(#11596) このトピック中8番目の投稿
(環境: Linux/FirefoxPR)

> 追記:とりあえずの回避策は,右クリックでContext-menuを出した際に
> ステータスバーをみれば,隠れたURLが表示されます.
テストケースでは、右クリックでContext-menuを出した際のステータスバーは「完了」になります。
Linuxだからかなぁ。

Re[4]: URL を詐称するリンクが作成可能
(#11600) このトピック中9番目の投稿
(環境: Win98/Firefox0.9.1)

> テストケースでは、右クリックでContext-menuを出した際のステータスバーは「完了」になります。
> Linuxだからかなぁ。

こちらの環境では,リンクを右クリックして,カーソルがContext-menuから外れて
いると,隠れたURL(google)が表示されます.カーソルがそのメニューのどれかに
フォーカスすると,完了になります.また,Context-menuのプロパティを見ますと,
こちらでは googleのURL(URI)が表示されます.

Re[2]: URL を詐称するリンクが作成可能
(#11610) このトピック中10番目の投稿
(環境: WinXP/その他)

2004/11/02(Tue) 14:48:46 編集(投稿者)
2004/11/02(Tue) 14:48:15 編集(投稿者)

 Spoofing が可能になってしまうので、明らかにセキュリティ Bug です。ですから Nob-N さんがおっしゃる通り、Bug として対処する必要があります。

 それから Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.3) Gecko/20041026 Firefox/1.0RC1 でも再現しています。

 それから HTML として正しくないです。HTML 4.01 DTD ではサンプルのような記述は許されていません。


このトピックの全ページ / [0]

返信不可


- Child Tree -