パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

TikTokの内蔵ブラウザーがキー入力を監視と報道。TikTok側は障害調査用だと否定」記事へのコメント

  • ネトウヨ歓喜 (スコア:-1, フレームのもと)

    by Anonymous Coward

    決め付け的な「どうせ」論ばかりで、スラド的な技術考察がほとんどないのがまた5ch化してると言われる所以なのだろうな
    Felix Krause氏のページ [krausefx.com]とか1ミリも読んでなさそう

    技術に詳しくない読者向けの FAQ

    • アプリ内ブラウザは、私がオンラインで行うすべてのことを読み取ることができますか? はい、アプリ内ブラウザを介して閲覧している場合、技術的には可能です。
    • 上記のアプリは実際に私のパスワード、住所、クレジット カード番号を盗みますか? いいえ! 私は、悪意のある人物がこのアプローチでこのデータにアクセスできることを示したかったのです。 過去に示されているように、企
    • by Anonymous Coward

      2009年の時点でUIWebViewで色々Javascript動かせた記憶があるけど、最近の発覚以前の話だよ。
      いつか騒ぎになると思ってたけどな。

      • by Anonymous Coward on 2022年08月26日 1時37分 (#4312865)

        技術的に可能ってのと実際やってるかは別の話。
        データ盗む気が無いのと盗む下準備バッチリ済ますのも別。

        しかしまぁ、ブラウザで一通りの活動ができるSNSで、
        軽量化と通知の安定化くらいしか期待してないアプリ版では要求権限山盛りなの、
        ずっと胡散臭く思ってたがアプリ内ブラウザにまで仕込みを入れているとは……
        ブラウザ上で動くサービスじゃなくて、ブラウザを内包して
        ユーザの全行動の基盤に成り代わりたいとかそういう事なのかな。

        親コメント
        • by Anonymous Coward on 2022年08月26日 2時52分 (#4312874)

          >技術的に可能ってのと実際やってるかは別の話。
          >データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
          それが外部から判別不可能って事実があるよね
          任意のjsをインジェクション出来る以上、そのコードがある日突然変わる可能性なんて誰も否定できないし。

          同じ問題を抱えていたchromeのブラウザ拡張は最新のマニフェストだと動的なコードをインジェクトする事ができなくなった。
          具体的には、アプリの中にアセットとして組み込んだ静的なjsファイルしかインジェクションできなくなった。
          出来ることがものすごい成約されたけど、もうリリースされて動いている。
          アプリのwebviewもそうなるんかなあ

          マニフェストに定義させて、webviewの中で任意のドメインしか通信できないようにするとか
          でもwebviewからネイティブに情報を送れる以上、webviewはfacebookとしか通信しないけど、ネイティブはevil[.]comと通信するのは止められないし

          親コメント
          • by Anonymous Coward

            これTampermonkey使えなくなるから例外を認めて欲しい

            • by Anonymous Coward

              Tampermonkeyどうすんの? って話がuBlockの次くらいに話題になってたけど結局何もしないでTampermonkey死亡なのか

        • by Anonymous Coward

          > データ盗む気が無いのと盗む下準備バッチリ済ますのも別。

          そもそも本当に悪用するつもりなら「下準備」なんて要らない
          ある日突然コードを書き換えれば済む話なので
          よって、それらを区別する必要がない

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...