パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、「CSS による Web ブラウズ履歴漏えい」をブロックする方向へ 」記事へのコメント

  • by saitoh (10803) on 2010年04月06日 12時22分 (#1744086)
    そもそもなんでJAVASCRIPTから表示状態を参照できる機能そのものを削っちゃだめなの?
    • Re:教えて偉い人 (スコア:2, 参考になる)

      by s02222 (20350) on 2010年04月06日 15時22分 (#1744206)
      >表示状態を参照できる機能そのものを削っちゃだめなの

      結局、最小限だけ削るとこうなる、ということかと。

      まず、ページ内の要素の座標を取得不可能にするのは影響が大きすぎるから無茶です。 ボタンの上にマウスカーソルを持って行くとメニューが開くようなページなど、まともに動かなくなるページが多数で。

      次に、ページ内要素の座標が得られるなら、 「リンクへの訪問の有無で変更できるスタイル」にページのレイアウトが変わっちゃうようなスタイルを含めるのは危険です。 「リンクの訪問無しなら幅が0、有りなら幅が100」と言うような要素を置いておくと、周辺の要素の表示位置が訪問の有無で変わってくるため、Javascriptから検出できてしまいます。

      ということで、この「良いトレードオフ」が導かれます。
      親コメント
    • Re:教えて偉い人 (スコア:1, 参考になる)

      by Anonymous Coward on 2010年04月06日 12時28分 (#1744090)

      既存のサイトがいろいろ残念な事になります。あとJavaScriptを使わなくても履歴を盗む方法があるというのは関連ストーリーにも載ってるFAQです。たまたま攻撃にJavaScriptが使われてるからとにかくJavaScriptから機能を削るのはたまたまGumblarが攻撃の対象にしてるからFFFTPをアンインストールするのと同じくらい似非セキュリティです。

      親コメント

最初のバージョンは常に打ち捨てられる。

処理中...