アカウント名:
パスワード:
IFrame タグ自体のあり方について考えるべき段階にきているのかもしれません。
たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。 iframeは道具であって原因ではない。
>たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
いやいや、「あり方を考える」っていった場合、廃止しか選択肢が無いわけじゃないでしょ。(その場合、iframeの存在の是非についてとかになる)ブラウザの実装(例えばobjectやscriptのような制御オプション、IEにはIFRAMEの制御項目はあるが…)であるとか、外部サイトをソースにした場合の制約だとか、セキュアに使われるようにはどうするか、というのを検討する事は車にブレーキ、ABSつけて売りましょうとかいうレベルで考えましょうって話でしょ。
むしろ「完全ではないが次善の対策」こそがセキュリティの本質。どんな理想論掲げても、それが極端すぎては意味がありません。「現状を分析して,対策によってどの程度の安全ならば確保出来そうか」を割り出し、対策を講じるのがセキュリティ。
『安全のためにサイトを閉鎖しました』。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
木を見て森を見ず (スコア:1, すばらしい洞察)
たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
iframeは道具であって原因ではない。
Re: (スコア:2, 参考になる)
>たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
いやいや、「あり方を考える」っていった場合、廃止しか選択肢が無いわけじゃないでしょ。
(その場合、iframeの存在の是非についてとかになる)
ブラウザの実装(例えばobjectやscriptのような制御オプション、IEにはIFRAMEの制御項目はあるが…)であるとか、
外部サイトをソースにした場合の制約だとか、セキュアに使われるようにはどうするか、
というのを検討する事は車にブレーキ、ABSつけて売りましょうとかいうレベルで考えましょうって話でしょ。
Re: (スコア:0)
>外部サイトをソースにした場合の制約だとか、
外部サイトをソースにしなくても同じ攻撃は可能です。
なにしろ当該サイトが改竄される状態なのですから、
当該サイトにウイルスなりの攻撃コードを全部置けばいいのです。
iframe で外部サイトを参照するのは、現時点でも最も楽だからにすぎません。
技術的セキュリティを考えるときは、自分の思い付いたところだけ見ていても駄目です。
他にも攻撃手段はないのか、その対策は包括的な防止策になっているのか、
そういうことを自問しなければ、本物のセキュリティ対策ではありません。
Re:木を見て森を見ず (スコア:0)
むしろ「完全ではないが次善の対策」こそがセキュリティの本質。
どんな理想論掲げても、それが極端すぎては意味がありません。
「現状を分析して,対策によってどの程度の安全ならば確保出来そうか」を
割り出し、対策を講じるのがセキュリティ。
『安全のためにサイトを閉鎖しました』。