過去ログ表示


過去ログ 16 を表示

トピック内全 11 記事中の 1 〜 10 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1]

この件に関して、まだこちらの方には投稿されていないようでしたので、
投稿します。
既に投稿済 or FAQでしたらすみません。

Mozilla 0.9.2〜1.1αに関して、任意のCookieが漏曳してしまう可能性の
ある、JavaScriptがらみのセキュリティホール情報が報告されています。

[Slashdot JP]
http://slashdot.jp/article.pl?sid=02/07/26/1546226&mode=thread

影響を受けるor受けないバージョン、影響を受けるバージョンをお使い
の場合の対処の方法など、上記URLの記事をご覧ください。


どうもわからないのですが
(#2254) このトピック中2番目の投稿


この方法
「javascript://[host]/[path]\n[code to read cookie] という
javascriptを呼び出すこと」を自分のサイトでつくった
cookieを読み込むために使用しているサイトとかあるのでしょうか、
あるとすれば対策の施されたNightlyではそういうサイトが利用できなく
なるということになるのでしょうか?

Re[2]: どうもわからないのですが
(#2255) このトピック中3番目の投稿

> この方法
> 「javascript://[host]/[path]\n[code to read cookie] という
> javascriptを呼び出すこと」を自分のサイトでつくった
> cookieを読み込むために使用しているサイトとかあるのでしょうか、
> あるとすれば対策の施されたNightlyではそういうサイトが利用できなく
> なるということになるのでしょうか?

利用できなくなりますが、そんなトリックのような手段を使う
必要は通常はなくて通常よく用いられる一般的な手段でクッキーへ
アクセスするのが本来です。

みなさんご存知の通り、クッキーはブラウザとサイトとの間で
やり取りする情報データで、設定によってはブラウザ側に
データを残しておくことができます。(その機能を使って
掲示板などで名前やメールアドレスを記録しておくという事を
行ってます)

そのような情報伝達と保存の仕組みを使うとユーザがどんな
サイトを見たのか、どんなサイトでどんな情報をやり取りした
のかを「クッキーを発行したサイト以外のサイトから」覗き
見ることができるように思えますが、実際にはそのような
事にはなりません。 なぜならば、クッキーは発行したサイト
以外のサイトには見えないような仕組みで保護されているから
です。(実際にはもっとややこしく、似た状況は不可能では
ありませんが...)


今回見つかったバグは、その保護を突破するものです。
問題点は、保護を突破できることなのです。

クッキーとプライバシーについては
http://www.mozilla.gr.jp/docs/beginmoz-1.0/consideration.html#consideration-security
辺りをご覧ください。


Re[3]: どうもわからないのですが
(#2267) このトピック中4番目の投稿

なるほどよく分かりました。ありがとうございます。

回避の設定をしてみましたが、それをするとUFJ銀行にログインできないす。
対策版をはやく正規版として出していただきたいものです。
Nightlyやベータじゃ日本語パックだしてもらえないし。

済!
Re[4]: どうもわからないのですが
(#2269) このトピック中5番目の投稿

> Nightlyやベータじゃ日本語パックだしてもらえないし。
JLP実験室
http://www2.starcat.ne.jp/%7Eunha/jlp/
で、
# Mozilla 1.1β用統合パッケージ
が出てますよ〜

特定のサイトだけ JavaScriptを許可
(#2275) このトピック中6番目の投稿

> 回避の設定をしてみましたが、それをするとUFJ銀行にログインできないす。

考えられる選択肢は

a) UFJ銀行サイトへアクセスするときだけ、設定を戻す。
b) リスク覚悟で回避設定を行わない。
c) UFJ銀行サイトへアクセスするときには他のブラウザを使う
d) 最新の Nightly Build あるいは 1.1 Beta を使う
e) JavaScript を特定のサイトにだけ許可する

かと思います。 e)項については下記をどうぞ。

http://www.mozilla.gr.jp/ml/logs/moz-users/4800/4884.html

済!
ありがとうございます
(#2295) このトピック中7番目の投稿

お手数かけて申し訳ないです。
e)は便利ですね。早速使わせていただきます。
soloさんもありがとうございます。
安定性に問題がなければβ版も使ってみようかと思います。

済!

トップページに「2002/07/23 の nightly build(trunk, 1.0系)で修正済みです。」と書いてあるけど和ジラの1.0fはどうなんでしょう?
1.0fのBuild IDは2002072411だから07/23以降のbuildと考えて良いのでしょうか?



> 1.0fのBuild IDは2002072411だから07/23以降のbuildと考えて良いのでしょうか?

和ジラ 1.0f の Build ID が 2002072411 ならば 7/24 に Build
されたものですが、単にいつビルドされたという情報でしかなく、
mozilla.org の Mozilla が持つ Build ID とはなんら関係が
ないはずです。



お答え頂き有り難う御座います。
和ジラの説明を見ると「もじら組の独自ビルド」と書いてありますね(^_^;)
ヘルプでWazillaについてを見ると Gecko/20020719 となってますし
余計な書き込みをして済みませんでしたm(_ _)m

済!

[ 次のトピック内容10件 ]
このトピックの全ページ / [0] [1]

返信不可


- Child Tree -