アカウント名:
パスワード:
「本物の画面の上に、フレーム無しの擬似ウィンドウを開く事で、一見普通の入力ボックスに見えるのに実は偽装」な状態だって作れるはずですが…
その時アドレスバーのURLは攻撃者サイトなのだから、偽装になってませんが??
(本物サイトの上にフレーム無しの疑似ウィンドウを出すことは不可能ですし。)
.jsファイルをのっとるだけでいいのだから、URLは攻撃者サイトになりませんが?
Q5: この鉄則が守られていれば必ず安全なのですか? 残念ながらそうではありません。たとえば次の場合には安全ではなくなります。 利用者が使用しているWebブラウザに脆弱性がある場合 本物サイトに脆弱性がある場合 本物サイトのサーバが侵入され、コンテンツを改竄されている場合 利用者のパソコンがコンピュータウイルス(一部のスパイウェアを含む)に感染している場合 ブラウザベンダーは脆弱性を修正するべきです。サイト運営者はサイトから脆弱性を排除するよう努力し、侵入されない管理体制を築くべきです。利用者は、脆弱性の修正されたブラウザを使用し、ウイルスに感染しないよう注意するべきです。そうしなければ、インターネットを安全に使うことはできません。この鉄則は、それらが守られているという前提の上での考え方を示したものです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
はてなはそういうインターフェースにするべきではない、というのはいいのだが… (スコア:2, 興味深い)
「かっこいいデザイン」は無条件に信頼されやすい、という傾向があるとするならば、
『本物よりも偽者の方が信頼されやすい』
という困った状態を作り上げてしまうだけではないかと…
# 擬似ウィンドウのバーに「嘘のURLを表示する」ぐらいはやるでしょうし…
.
じゃぁ、どうすればいいのか、という意見は思いつきません。
なにしろ偽者というのは大まかに3種類あって、
もちろん、それぞれ「どうやってユーザーを騙すか」は違うわけですが…こうなると、「見てくれ」でどうにかするのは無理じゃないかと…
fjの教祖様
Re: (スコア:0)
うわー、なんかものすごい危険な大発明しちゃってませんか?
ブラウザごとにそれぞれの標準スキンそっくりの嘘URL表示することだってできちゃいそう。
Re: (スコア:1)
擬似ウィンドウを「本物のポップアップウィンドウのように見せかける」事が可能(もちろん、ブラウザ画面の外には動かせませんが)なのはもちろん、
「本物の画面の上に、フレーム無しの擬似ウィンドウを開く事で、一見普通の入力ボックスに見えるのに実は偽装」
な状態だって作れるはずですが…
# 確か、そういうデモってもうあったと思うんだが…
なので、高木先生が「はてなのインターフェースは駄目」というのはその通りですが、じゃぁ直したら偽装されない/されにくいのかといわれると…全然そうは思えないです。
ましてや、「本物よりも本物らしい」という騙し方がある事を考えるとね。
# 「ログインの際にかっこよく専用ウィンドウが出るのは、きっと本物だからだよ。」
fjの教祖様
Re: (スコア:0)
その時アドレスバーのURLは攻撃者サイトなのだから、偽装になってませんが??
(本物サイトの上にフレーム無しの疑似ウィンドウを出すことは不可能ですし。)
Re: (スコア:1)
.jsファイルをのっとるだけでいいのだから、URLは攻撃者サイトになりませんが?
なんかものすごく攻撃方法を都合のよいものに限定していませんか?
fjの教祖様
Re:はてなはそういうインターフェースにするべきではない、というのはいいのだが… (スコア:3, すばらしい洞察)
もしそうだとすると、仰る通りユーザの被害を防ぐことは難しいかもしれません。
ですが、そもそも「安全なWebサイト利用の鉄則」 [aist.go.jp]やブログでの啓蒙など高木さんの一連の活動において防ごうとしている被害は、大雑把に言うと「本物サイトだから安全、と思っていたら実は偽サイトだった」ことに起因する被害であって、「本物サイトだから安全、と思っていたら実は本物サイトなのに安全じゃなかった」ことに起因する被害はサポートの範囲外というか、別途対処すべきことというスタンス、と私は理解しています。
参考までに前述の「安全なWebサイト利用の鉄則」のFAQ [aist.go.jp]の一部を引用しておきます。(強調は引用者)