複数のウェブブラウザに「JavaScriptダイアログボックス」の脆弱性
要は、Javascriptを利用してポップアップでダイアログボックスを表示する際に「どのサイトから出されたものかがわからない」という(ほぼ)仕様があるので、ちょっとしたことで簡単に悪用でき、ユーザを混乱させることができてしまうものです。
危険度は下から2番目の"Less critical"レベルなものの、現状のブラウザはほとんどこれができてしまうので注意が必要です。簡単に説明すると以下のようになります。
1.悪質サイトのページ内にある「まともなページ(銀行など)」へのリンクを訪問者がクリックします。
(「クリックしたら発動」する仕掛けが施されています。)
2.当然、前面にまともなサイトが開きますが、そのタイミングでダイアログボックスが出てきます。
3.まともなサイトを開いた直後に出てきた=そのサイトから出てきたものだと勘違いしてしまう。
(ここでうっかりそのダイアログボックスに情報を入れると悪質サイトに情報が送られてしまいます。)
▽ 関連情報
■英文:SecuniaのWebサイトにある、本件の脆弱性体験ページ(翻訳)
■英文:Microsoftが6月21日に発行したセキュリティアドバイザリ(翻訳)
コメント
ファイナル○
2005-11-28(月) 23:03:19
コメントを投稿
投稿ボタンは一度だけ押してください。他の人の気分を害する内容、荒れを招く恐れのある内容は削除や規制を行う場合があります。
トラックバック
トラックバックURL:
ナビゲーション
サイト内
リンク
4MBアップローダー
20MBアップローダー
ぷよぷよ!Wiki
デスノ板(ィ反)
動画とフラッシュ (更新休止)
世界最速マリオ (更新停止)
Amazon.co.jp
ぷよぷよ7(DS)
ぷよぷよ! (DS)
ぷよぷよ! (PSP)
ぷよぷよフィーバー(PC)
PS/PS2 1ポート → USB
PS/PS2 2ポート → USB
クリック募金特集
WebProxyリストまとめ
Yahoo! API
さくらインターネット
FX
20MBアップローダー
ぷよぷよ!Wiki
デスノ板(ィ反)
動画とフラッシュ (更新休止)
世界最速マリオ (更新停止)
Amazon.co.jp
ぷよぷよ7(DS)
ぷよぷよ! (DS)
ぷよぷよ! (PSP)
ぷよぷよフィーバー(PC)
PS/PS2 1ポート → USB
PS/PS2 2ポート → USB
クリック募金特集
WebProxyリストまとめ
Yahoo! API
さくらインターネット
FX
気軽に設置できるダイアログボックスは
使い方を誤ると、ユーザを混乱させるなど
迷惑になるんですね。
使うときにはページを見る相手が
混乱しないように工夫をしなくちゃね。