アカウント名:
パスワード:
Web埋め込みで可能性が高いのは、ウィルス/ワームの感染用のスクリプトにリンクってやつじゃないですかね?
もっともユーザ側の対策も可能で、noscript [mozilla.org]とかでIFRAMEを禁止してれば大抵この手のやつにも感染する可能性はかなり減ります
さらにpeerguardian [google.co.jp]とかも入れて想定外のサイトへのアクセスをブロックするの対策のひとつ
まぁサーバー側でちゃんと対策してくれれば、本当はそれが一番なんでしょうけどねぇ~
ほとんどの金融サイトでは、なぜかJavascriptが必須(ページ移動・ログインページ開くにも)なんですが、逆にJavascriptを無効にさせたほうが安全だと思うのですが、あれは何のためなんでしょう?
顧客が求めるものを真摯に提供しているだけじゃないかな。大多数の顧客にとっては、あってもなくても目に見えない「安全」よりも、ちゃらちゃらした見た目の方が大事なんですよ。顧客ってのは、金融サイトから見た顧客と、サイトを構築する業者から見た顧客、両方ね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
あなたならどんな攻撃しますか? (スコア:0)
たしかにXSSで、そこまで大きな被害の報告はない。でも、最初の大きな被害を受けるのが自分ではないとは言い切れない。まぁ、筆者はその"かもしれない"にお金かけてどうするんだ、ってことだけど、それは保険的なものと考えればいいんじゃないでしょうか。
XSSって結局はJavascriptなどを埋め込む攻撃ですが、ここで知識のある人、もし自分がやるならどんな攻撃します?
もしログインフォームに穴があれば、formのactionを自分のサイトに向けたり、onsubmit時に値を取得してGETで自分のページに送ったりですかね。
これが金融機関のサイトなら一大事ですね。SSLなんか関係ないですから。
あとはアクセスしたらAjaxやimgタグでリクエスト投げさせまくるとか。サーバーがクラッシュする前にブラウザがクラッシュすると思いますが。
もし、楽天などのモールで問題が起きると、全ショップに影響し、停止させたら億単位の損害になりそうですね。
#ほとんどの金融サイトでは、なぜかJavascriptが必須(ページ移動・ログインページ開くにも)なんですが、逆にJavascriptを無効にさせたほうが安全だと思うのですが、あれは何のためなんでしょう?今はブラウザによってポップアップウインドウでもURL表示されますが、昔は非表示だったし、実際どこにアクセスしてるのかわからなかった。
Re:あなたならどんな攻撃しますか? (スコア:2, 参考になる)
Web埋め込みで可能性が高いのは、ウィルス/ワームの感染用のスクリプトにリンクって
やつじゃないですかね?
もっともユーザ側の対策も可能で、noscript [mozilla.org]とかでIFRAMEを禁止してれば
大抵この手のやつにも感染する可能性はかなり減ります
さらにpeerguardian [google.co.jp]とかも入れて想定外のサイトへのアクセスを
ブロックするの対策のひとつ
まぁサーバー側でちゃんと対策してくれれば、本当はそれが一番なんでしょうけどねぇ~
Re: (スコア:0)
顧客が求めるものを真摯に提供しているだけじゃないかな。
大多数の顧客にとっては、あってもなくても目に見えない「安全」よりも、ちゃらちゃらした見た目の方が大事なんですよ。
顧客ってのは、金融サイトから見た顧客と、サイトを構築する業者から見た顧客、両方ね。