アカウント名:
パスワード:
IFrame タグ自体のあり方について考えるべき段階にきているのかもしれません。
たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。 iframeは道具であって原因ではない。
>たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
いやいや、「あり方を考える」っていった場合、廃止しか選択肢が無いわけじゃないでしょ。(その場合、iframeの存在の是非についてとかになる)ブラウザの実装(例えばobjectやscriptのような制御オプション、IEにはIFRAMEの制御項目はあるが…)であるとか、外部サイトをソースにした場合の制約だとか、セキュアに使われるようにはどうするか、というのを検討する事は車にブレーキ、ABSつけて売りましょうとかいうレベルで考えましょうって話でしょ。車をなくしてしまえ、とかいう極論しか考えられないのは只の思考停止ではないですか?
道具自体に責任をとらせる事は出来ないし、悪意のある人間がそれで諦めることはないでしょう。ただ、その当たり前の正論に目がくらんで、すばらしい洞察をつけていませんか?悪意のある人間は減らないんだから、(iframeがそうだというのではなく)脆弱性という道具は修正しても仕方ない。論理的な正論をぶっただけで、技術的に対策することを放棄してもいいじゃないか。そう言ってるのと変わりなく、それじゃ行き着く先はサイバーノーガード社会ですよ。
むしろ「完全ではないが次善の対策」こそがセキュリティの本質。どんな理想論掲げても、それが極端すぎては意味がありません。「現状を分析して,対策によってどの程度の安全ならば確保出来そうか」を割り出し、対策を講じるのがセキュリティ。
『安全のためにサイトを閉鎖しました』。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
木を見て森を見ず (スコア:1, すばらしい洞察)
たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
iframeは道具であって原因ではない。
Re:木を見て森を見ず (スコア:2, 参考になる)
>たとえiframeを廃止したところで、そうなったらこんどは、攻撃者は直接攻撃コードを改竄で埋め込むようになるだけでしょう。
いやいや、「あり方を考える」っていった場合、廃止しか選択肢が無いわけじゃないでしょ。
(その場合、iframeの存在の是非についてとかになる)
ブラウザの実装(例えばobjectやscriptのような制御オプション、IEにはIFRAMEの制御項目はあるが…)であるとか、
外部サイトをソースにした場合の制約だとか、セキュアに使われるようにはどうするか、
というのを検討する事は車にブレーキ、ABSつけて売りましょうとかいうレベルで考えましょうって話でしょ。
車をなくしてしまえ、とかいう極論しか考えられないのは只の思考停止ではないですか?
道具自体に責任をとらせる事は出来ないし、悪意のある人間がそれで諦めることはないでしょう。
ただ、その当たり前の正論に目がくらんで、すばらしい洞察をつけていませんか?
悪意のある人間は減らないんだから、(iframeがそうだというのではなく)脆弱性という道具は修正しても仕方ない。
論理的な正論をぶっただけで、技術的に対策することを放棄してもいいじゃないか。
そう言ってるのと変わりなく、それじゃ行き着く先はサイバーノーガード社会ですよ。
マイクロソフトに任せれば (スコア:1, おもしろおかしい)
「このページはIFRAMEタグを含んでいます。
IFRAMEタグには危険な要素が含まれている場合があります。
通常、IFRAMEタグを無効にすると安全ですが、IFRAMEタグが適正な場合、機能が使えなくなります。
[IFRAMEタグを無効にする] [IFRAMEタグを有効にする] [詳細]」
ほら、対策完了!
Re: (スコア:0)
>外部サイトをソースにした場合の制約だとか、
外部サイトをソースにしなくても同じ攻撃は可能です。
なにしろ当該サイトが改竄される状態なのですから、
当該サイトにウイルスなりの攻撃コードを全部置けばいいのです。
iframe で外部サイトを参照するのは、現時点でも最も楽だからにすぎません。
技術的セキュリティを考えるときは、自分の思い付いたところだけ見ていても駄目です。
他にも攻撃手段はないのか、その対策は包括的な防止策になっているのか、
そういうことを自問しなければ、本物のセキュリティ対策ではありません。
Re: (スコア:0)
だとしたら、全く要旨をつかめていないと思うのですけど。
(#1493851)さんは
「別にIFrame使わなくたって攻撃できるから、IFrameはほっといて良し!」
というのは違うんじゃないか、と言いたいのだと思います。
>外部サイトをソースにしなくても同じ攻撃は可能です。
というのは当たり前の話で、
「IFrameの対策をすればサーバの対策は不要だよ!」
と言っているわけではなく、
「サーバの対策をやった上で、IFrameをセキュアに使える世の中を一緒に考えようよ!」
という話です
Re: (スコア:0)
むしろ「完全ではないが次善の対策」こそがセキュリティの本質。
どんな理想論掲げても、それが極端すぎては意味がありません。
「現状を分析して,対策によってどの程度の安全ならば確保出来そうか」を
割り出し、対策を講じるのがセキュリティ。
『安全のためにサイトを閉鎖しました』。