過去ログ表示


過去ログ 139 を表示

トピック内全 17 記事中の 11 〜 17 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1]

Re[7]: 基本的には使用者の問題
(#22175) このトピック中11番目の投稿
(環境: WinXP SP1/Opera8)

> Secuniaに
>
> Result
> You are vulnerable, if a JavaScript dialog box appears in front of the Google.com web site without displaying information about its origin.
> You are not vulnerable, if you do not experience the above behaviour.
>
> とあるとおり、ダイアログが出ることは避けられません。
> これ自体はまったく正常の挙動です。
> 問題は、そのダイアログの出自が示されるかどうかです。
> (今回のテストならhttp://www.google.com.secunia.com/tests/origin_spoof.phpが出していることが明示されているかどうか)

そういうことでしたか。

再確認しましたら、Opera 8.01 では、
Please enter a test "password" string の上に、
www.google.com.secunia.com という表示がありました。

Firefox/1.0.4 の場合は、この表示が出ません。

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.01

Re[7]: 根本的に使用者の問題
(#22204) このトピック中12番目の投稿
(環境: OS2/Mozilla1.7)

> 問題は、そのダイアログの出自が示されるかどうかです。
> (今回のテストならhttp://www.google.com.secunia.com/tests/origin_spoof.phpが出していることが明示されているかどうか)

/.Jのストーリーやコメントを見る限りでは,そこまでする必要があるのかという意見が出ていますね。初めてデモページのポップアップを見た時には思わず笑ってしまいました。だから「こんな手にひっかかることもないかと思いますが」と最初の投稿(#22081) に書いているのですけどね Very_Happy

Webブラウザにダイアログ“詐称の脆弱性あり”との主張
http://slashdot.jp/article.pl?sid=05/06/21/2116231

# 「転ばぬ先の杖か、杞憂か 部門より」だって(笑)
# 個人的には「杞憂」だと思う Very_Happy

> Mozillaでどうなっているか気になるのですが、Bugzillaでそれっぽいのを見つけられませんでした。

http://secunia.com/secunia_research/2005-11/advisory/ を見ますと,5月24日にベンダーに通知したことになっていますが,http://secunia.com/advisories/15489/ にもBugzillaへのリンクはありません。もしや脆弱性とはみなされなかったということではないでしょうかね? Surprised

> #Mozillaはこの前のFrame Injectionの件はNightlyでfixされてるのにUnpatched...

通常Secuniaは正式リリース版もしくはpatchの配布が始まらないと「修正された」と認めないのですよ。またUnpatchedな脆弱性でも,ベンダー側で脆弱性を無効にする方法が提供されていれば,5段階に分類される「製品全般」の脆弱性評価ランク(CriticalSmileでは「修正扱い」になります。

Internet Explorer 6
http://secunia.com/product/11/

Mozilla Firefox 1.x
http://secunia.com/product/4227/

で,iCabは知りませんけど,Mozilla/Firefoxについてnightlyでのfixをvendor patchと認めた前例は今までなかったと思います。でもそれはiCabとは関係なく,きちんと製品版でバグ対応されるべきとMozilla/FirefoxがSecuniaに評価されているということではないかと思います。

 まあどんな脆弱性があるか承知した上で使うのであれば,
↓rv:1.7.5なMozillaでも安全に使うことは可能なのですが Very_Happy

IBM Web Browser for OS/2 Version 2.0.5
Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.7.5) Gecko/20050523

# だれもOSがどうのという話はしていないので誤解なきように Laughing

Re[8]: 根本的に使用者の問題
(#22208) このトピック中13番目の投稿
(環境: Win2000/Firefox1.0)

> # 「転ばぬ先の杖か、杞憂か 部門より」だって(笑)
> # 個人的には「杞憂」だと思う :D

同感です。この程度で「脆弱性だ!」と叫ぶのなら、いっそのことonclickやwindow.openなんかを廃止しちゃったほうが簡単かつ安全かもしれません :D

>>Mozillaでどうなっているか気になるのですが、Bugzillaでそれっぽいのを見つけられませんでした。
>
> http://secunia.com/secunia_research/2005-11/advisory/ を見ますと,5月24日にベンダーに通知したことになっていますが,http://secunia.com/advisories/15489/ にもBugzillaへのリンクはありません。もしや脆弱性とはみなされなかったということではないでしょうかね?

個人的には「表示された方が少しは安全かもしれないなぁ」ということでP4/enhancementくらいでもいいのではないかと :D

> で,iCabは知りませんけど,Mozilla/Firefoxについてnightlyでのfixをvendor patchと認めた前例は今までなかったと思います。でもそれはiCabとは関係なく,きちんと製品版でバグ対応されるべきとMozilla/FirefoxがSecuniaに評価されているということではないかと思います。

実際nightlyなんて製品版どころかalphaにも満たない代物ですからね。
せめてPreview Releaseくらいにならないと駄目なんでしょうね。

Mozilla/5.0 (Windows; U; Windows NT 5.0; ja; rv:1.8b2) Gecko/20050622 Firefox/1.0+
#JLP1.0.8出てますよ

Re[9]: 根本的に使用者の問題
(#22210) このトピック中14番目の投稿
(環境: OS2/Firefox1.0)

>># 個人的には「杞憂」だと思う :D
>
> 同感です。この程度で「脆弱性だ!」と叫ぶのなら、いっそのことonclickやwindow.openなんかを廃止しちゃったほうが簡単かつ安全かもしれません :D

うーん,そこまでやる必要もあるのかなぁって気がしますが(汗)

# Javascriptを廃止では影響大きすぎるよなぁ(爆)

> 実際nightlyなんて製品版どころかalphaにも満たない代物ですからね。
> せめてPreview Releaseくらいにならないと駄目なんでしょうね。

たしかに。Preview Releaseでアドバイザリが発行されたことは過去(Firefox 1.0PR)にありましたね。ただCaiさんが述べられているnightlyは「alphaにも満たない代物」なんですか?どのビルドに触れているのか文脈からではわたしに分からないのですが,Mozilla 1.7.xベースのtrunkって少なくともbeta扱いでなくて :?

> #JLP1.0.8出てますよ

おっと情報どうもです。:D

Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.8b2) Gecko/20050620 Firefox/1.0+

Re[10]: 根本的に使用者の問題
(#22212) このトピック中15番目の投稿
(環境: WinMe/Firefox1.0)

No22210に返信(Sassyさんの記事)

DPA1 2005-06-23-19ではポップアップブロッカーが効いていました。

#個人的には出るものを無理やり隠すのではなく、ダイアログ内にアドレスを表示してくれたほうがすっきりしてていいのですが。

持病?のFrame InjectionについてはいつのBuildだったか忘れましたが、3枚目のウィンドウが開くようになっていました。

# Fx 1.0.5に含まれるのかどうかは私にはわかりません。

> # Javascriptを廃止では影響大きすぎるよなぁ(爆)

確かに。脆弱性と呼ぶほどのものではないといった点では同感です。

>>実際nightlyなんて製品版どころかalphaにも満たない代物ですからね。
>>せめてPreview Releaseくらいにならないと駄目なんでしょうね。

扱いが上がったということでしょうか。リリース版でFixされてるかどうかということでしょう。iCabについて補足すれば登場以来?年経っていますが、未だbetaです。
常用できるかどうかはともかく、プラットフォームによって選択肢が狭まるのでこれでも使える場面があります。

#実のところカード情報流出やらセキュリティソリューションを売り物にしている会社に不心得者が一人いるだけでおじゃんになったりとそっちのほうが切実な問題だったりします。

Re[10]: 根本的に使用者の問題
(#22224) このトピック中16番目の投稿
(環境: Win2000/Firefox1.0)

>>実際nightlyなんて製品版どころかalphaにも満たない代物ですからね。
>>せめてPreview Releaseくらいにならないと駄目なんでしょうね。
>
> たしかに。Preview Releaseでアドバイザリが発行されたことは過去(Firefox 1.0PR)にありましたね。ただCaiさんが述べられているnightlyは「alphaにも満たない代物」なんですか?どのビルドに触れているのか文脈からではわたしに分からないのですが,Mozilla 1.7.xベースのtrunkって少なくともbeta扱いでなくて :?

「alphaにも満たない」ってのは言いすぎでした。
Mozilla/5.0 (Windows; U; Windows NT 5.0; ja; rv:1.8b2) Gecko/20050622 Firefox/1.0+
Mozilla1.8としてはb2ですが、Firefox1.1としてはa1という微妙な位置付けですからね。
http://www.mozilla-japan.org/projects/firefox/roadmap.html
7月中には1.1がリリースされるはずですが、間に合うんでしょうか?
今月中にDeer Park Alpha2をリリースして、さらにDeer Park Beta、Firefox1.1 RC・・・
1.1リリースは9月になるんじゃないかと予想 :lol:

Re[11]: 根本的に使用者の問題
(#22226) このトピック中17番目の投稿
(環境: WinXP SP2/Firefox1.0)

> http://www.mozilla-japan.org/projects/firefox/roadmap.html
> 7月中には1.1がリリースされるはずですが、間に合うんでしょうか?


1.1a2はなんとか6月中にリリースされそうな気配ですが、
http://weblogs.mozillazine.org/asa/archives/008346.html
1.1b、1.1は現段階では「?」になってるようです。


[ 前のトピック内容10件 ]
このトピックの全ページ / [0] [1]

返信不可


- Child Tree -