アカウント名:
パスワード:
確か公式では機能提供してませんでしたよねあと脆弱性も半年?1年?位前に報告されたもののようですがまだ塞がってないんでしょうか
動画を見る限り、ニンテンドーゾーン(https://www.nintendo.co.jp/nintendozone/index.html)にアクセスしたときに表示するためのサーバーを模した偽装アクセスポイント+サーバーを用意して、当該画面を表示するタイミングで攻撃用HTMLを読み込ませる、という攻撃方法のよう。Switchの場合、他にもTwitterのOAuth認証時とか一部の画面でブラウザが起動するが、いずれも自由にURLを設定できない(はず。可能な場所があれば指摘求ム)ので、同様に偽サーバーを用意する必要がある。つまり、攻撃するためにはそのようなシステムを組んだ上で接続させる必要があるので能動的に攻撃を受
ニンテンドーゾーンへのアクセス自体ではなく、Captive Portal [designet.co.jp](Wi-Fi接続の認証などで使われるWebページ)じゃないですかね?これだと、接続先がどこだろうと横取り可能ですし。能動的な攻撃はなさそうですけど、フリーのWi-Fiスポットに偽装したトラップに仕込まれる可能性はあるかも。
WiFiの接続時にニンテンドーゾーンに自動でアクセスすることで認証が必要なAPか判定してる感じですかね。
Switch自体が必要とする公式のサイトを全てHTTPSにすることは可能でも、WiFiスポットに対応するためには結局WiFiスポットが提供する任意のリダイレクトを受け入れないと駄目な訳か。既知のWiFiスポットのHTML構造を全部把握しておいてブラウザなしでフォーム送信、とでもしないと回避不能かな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
ブラウザの起動方法? (スコア:0)
確か公式では機能提供してませんでしたよね
あと脆弱性も半年?1年?位前に報告されたもののようですがまだ塞がってないんでしょうか
Re: (スコア:1)
動画を見る限り、ニンテンドーゾーン(https://www.nintendo.co.jp/nintendozone/index.html)に
アクセスしたときに表示するためのサーバーを模した偽装アクセスポイント+サーバーを用意して、
当該画面を表示するタイミングで攻撃用HTMLを読み込ませる、という攻撃方法のよう。
Switchの場合、他にもTwitterのOAuth認証時とか一部の画面でブラウザが起動するが、いずれも
自由にURLを設定できない(はず。可能な場所があれば指摘求ム)ので、同様に偽サーバーを用意する必要がある。
つまり、攻撃するためにはそのようなシステムを組んだ上で接続させる必要があるので能動的に攻撃を
受
Re: (スコア:2)
ニンテンドーゾーンへのアクセス自体ではなく、Captive Portal [designet.co.jp](Wi-Fi接続の認証などで使われるWebページ)じゃないですかね?
これだと、接続先がどこだろうと横取り可能ですし。
能動的な攻撃はなさそうですけど、フリーのWi-Fiスポットに偽装したトラップに仕込まれる可能性はあるかも。
Re:ブラウザの起動方法? (スコア:0)
WiFiの接続時にニンテンドーゾーンに自動でアクセスすることで認証が必要なAPか判定してる感じですかね。
Switch自体が必要とする公式のサイトを全てHTTPSにすることは可能でも、
WiFiスポットに対応するためには結局WiFiスポットが提供する任意のリダイレクトを受け入れないと駄目な訳か。
既知のWiFiスポットのHTML構造を全部把握しておいてブラウザなしでフォーム送信、とでもしないと回避不能かな。