アカウント名:
パスワード:
IFrame タグ自体のあり方について考えるべき段階にきているのかもしれません。
たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。 iframeは道具であって原因ではない。
>たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
いやいや、「あり方を考える」っていった場合、廃止しか選択肢が無いわけじゃないでしょ。(その場合、iframeの存在の是非についてとかになる)ブラウザの実装(例えばobjectやscriptのような制御オプション、IEにはIFRAMEの制御項目はあるが…)であるとか、外部サイトをソースにした場合の制約だとか、セキュアに使われるようにはどうするか、というのを検討する事は車にブレーキ、ABSつけて売りましょうとかいうレベルで考えましょうって話でしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
木を見て森を見ず (スコア:1, すばらしい洞察)
たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
iframeは道具であって原因ではない。
Re: (スコア:2, 参考になる)
>たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
いやいや、「あり方を考える」っていった場合、廃止しか選択肢が無いわけじゃないでしょ。
(その場合、iframeの存在の是非についてとかになる)
ブラウザの実装(例えばobjectやscriptのような制御オプション、IEにはIFRAMEの制御項目はあるが…)であるとか、
外部サイトをソースにした場合の制約だとか、セキュアに使われるようにはどうするか、
というのを検討する事は車にブレーキ、ABSつけて売りましょうとかいうレベルで考えましょうって話でしょ。
Re: (スコア:0)
>外部サイトをソースにした場合の制約だとか、
外部サイトをソースにしなくても同じ攻撃は可能です。
なにしろ当該サイトが改竄される状態なのですから、
当該サイトにウイルスなりの攻撃コードを全部置けばいいのです。
iframe で外部サイトを参照するのは、現時点でも最も楽だからにすぎません。
技術的セキュリティを考えるときは、自分の思い付いたところだけ見ていても駄目です。
他にも攻撃手段はないのか、その対策は包括的な防止策になっているのか、
そういうことを自問しなければ、本物のセキュリティ対策ではありません。
Re:木を見て森を見ず (スコア:0)
だとしたら、全く要旨をつかめていないと思うのですけど。
(#1493851)さんは
「別にIFrame使わなくたって攻撃できるから、IFrameはほっといて良し!」
というのは違うんじゃないか、と言いたいのだと思います。
>外部サイトをソースにしなくても同じ攻撃は可能です。
というのは当たり前の話で、
「IFrameの対策をすればサーバの対策は不要だよ!」
と言っているわけではなく、
「サーバの対策をやった上で、IFrameをセキュアに使える世の中を一緒に考えようよ!」
という話です。
自分の得意分野だからそちらに目が行きがちなのかも知れませんが、
サーバの脆弱性対策だけやってHTMLの脆弱性対策はしないというのは、片手落ちでしょう?
技術的セキュリティを考えるときは、自分の思い付いたところだけ見ていても駄目で、
そう思えてしまうのは、あなたの技術的思考が浅いからではないでしょうか。
# 見当違いだったらごめんなさい。
# その時はビンタするAA貼ってストレス解消して下さい。