新規投稿 新着記事 トピック表示 検索 過去ログ 管理者ログイン ヘルプ

過去ログ表示


過去ログ 16 を表示

トピック内全 11 記事中の 1 〜 10 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1]

Mozilla 0.9.2〜1.1αのCookie漏曳セキュリティホール情報
(#2251) このトピック中1番目の投稿
Μεω. の投稿 : 2002/07/27(Sat) 09:05:41 
この件に関して、まだこちらの方には投稿されていないようでしたので、
投稿します。
既に投稿済 or FAQでしたらすみません。

Mozilla 0.9.2〜1.1αに関して、任意のCookieが漏曳してしまう可能性の
ある、JavaScriptがらみのセキュリティホール情報が報告されています。

[Slashdot JP]
http://slashdot.jp/article.pl?sid=02/07/26/1546226&mode=thread

影響を受けるor受けないバージョン、影響を受けるバージョンをお使い
の場合の対処の方法など、上記URLの記事をご覧ください。

どうもわからないのですが
(#2254) このトピック中2番目の投稿
オナマーエ の投稿 : 2002/07/27(Sat) 10:32:09


この方法
「javascript://[host]/[path]\n[code to read cookie] という
javascriptを呼び出すこと」を自分のサイトでつくった
cookieを読み込むために使用しているサイトとかあるのでしょうか、
あるとすれば対策の施されたNightlyではそういうサイトが利用できなく
なるということになるのでしょうか?

Re[2]: どうもわからないのですが
(#2255) このトピック中3番目の投稿
tamcat の投稿 : 2002/07/27(Sat) 12:43:01

> この方法
> 「javascript://[host]/[path]\n[code to read cookie] という
> javascriptを呼び出すこと」を自分のサイトでつくった
> cookieを読み込むために使用しているサイトとかあるのでしょうか、
> あるとすれば対策の施されたNightlyではそういうサイトが利用できなく
> なるということになるのでしょうか?

利用できなくなりますが、そんなトリックのような手段を使う
必要は通常はなくて通常よく用いられる一般的な手段でクッキーへ
アクセスするのが本来です。

みなさんご存知の通り、クッキーはブラウザとサイトとの間で
やり取りする情報データで、設定によってはブラウザ側に
データを残しておくことができます。(その機能を使って
掲示板などで名前やメールアドレスを記録しておくという事を
行ってます)

そのような情報伝達と保存の仕組みを使うとユーザがどんな
サイトを見たのか、どんなサイトでどんな情報をやり取りした
のかを「クッキーを発行したサイト以外のサイトから」覗き
見ることができるように思えますが、実際にはそのような
事にはなりません。 なぜならば、クッキーは発行したサイト
以外のサイトには見えないような仕組みで保護されているから
です。(実際にはもっとややこしく、似た状況は不可能では
ありませんが...)


今回見つかったバグは、その保護を突破するものです。
問題点は、保護を突破できることなのです。

クッキーとプライバシーについては
http://www.mozilla.gr.jp/docs/beginmoz-1.0/consideration.html#consideration-security
辺りをご覧ください。


Re[3]: どうもわからないのですが
(#2267) このトピック中4番目の投稿
オナマーエ の投稿 : 2002/07/28(Sun) 21:42:02

なるほどよく分かりました。ありがとうございます。

回避の設定をしてみましたが、それをするとUFJ銀行にログインできないす。
対策版をはやく正規版として出していただきたいものです。
Nightlyやベータじゃ日本語パックだしてもらえないし。

済!
Re[4]: どうもわからないのですが
(#2269) このトピック中5番目の投稿
solo の投稿 : 2002/07/28(Sun) 22:58:27

> Nightlyやベータじゃ日本語パックだしてもらえないし。
JLP実験室
http://www2.starcat.ne.jp/%7Eunha/jlp/
で、
# Mozilla 1.1β用統合パッケージ
が出てますよ〜

特定のサイトだけ JavaScriptを許可
(#2275) このトピック中6番目の投稿
tamcat の投稿 : 2002/07/29(Mon) 10:51:48

> 回避の設定をしてみましたが、それをするとUFJ銀行にログインできないす。

考えられる選択肢は

a) UFJ銀行サイトへアクセスするときだけ、設定を戻す。
b) リスク覚悟で回避設定を行わない。
c) UFJ銀行サイトへアクセスするときには他のブラウザを使う
d) 最新の Nightly Build あるいは 1.1 Beta を使う
e) JavaScript を特定のサイトにだけ許可する

かと思います。 e)項については下記をどうぞ。

http://www.mozilla.gr.jp/ml/logs/moz-users/4800/4884.html

済!
ありがとうございます
(#2295) このトピック中7番目の投稿
オナマーエ の投稿 : 2002/07/29(Mon) 23:13:29

お手数かけて申し訳ないです。
e)は便利ですね。早速使わせていただきます。
soloさんもありがとうございます。
安定性に問題がなければβ版も使ってみようかと思います。

済!
Re[1]: Mozilla 0.9.2〜1.1αのCookie漏曳セキュリティホール情報
(#2300) このトピック中8番目の投稿
ヒロ の投稿 : 2002/07/30(Tue) 10:11:06

トップページに「2002/07/23 の nightly build(trunk, 1.0系)で修正済みです。」と書いてあるけど和ジラの1.0fはどうなんでしょう?
1.0fのBuild IDは2002072411だから07/23以降のbuildと考えて良いのでしょうか?


和ジラは(Re[2]: Mozilla 0.9.2〜1.1αのCookie漏曳セキュリティホール情報
(#2301) このトピック中9番目の投稿
tamcat の投稿 : 2002/07/30(Tue) 10:35:27

> 1.0fのBuild IDは2002072411だから07/23以降のbuildと考えて良いのでしょうか?

和ジラ 1.0f の Build ID が 2002072411 ならば 7/24 に Build
されたものですが、単にいつビルドされたという情報でしかなく、
mozilla.org の Mozilla が持つ Build ID とはなんら関係が
ないはずです。


Re[3]: Mozilla 0.9.2〜1.1αのCookie漏曳セキュリティホール情報
(#2302) このトピック中10番目の投稿
ヒロ の投稿 : 2002/07/30(Tue) 11:29:20

お答え頂き有り難う御座います。
和ジラの説明を見ると「もじら組の独自ビルド」と書いてありますね(^_^;)
ヘルプでWazillaについてを見ると Gecko/20020719 となってますし
余計な書き込みをして済みませんでしたm(_ _)m

済!
[ 次のトピック内容10件 ]
このトピックの全ページ / [0] [1]

返信不可


新規投稿 新着記事 トピック表示 検索 過去ログ 管理者ログイン ヘルプ
- Child Tree -