アカウント名:
パスワード:
決め付け的な「どうせ」論ばかりで、スラド的な技術考察がほとんどないのがまた5ch化してると言われる所以なのだろうな Felix Krause氏のページ [krausefx.com]とか1ミリも読んでなさそう
技術に詳しくない読者向けの FAQ アプリ内ブラウザは、私がオンラインで行うすべてのことを読み取ることができますか? はい、アプリ内ブラウザを介して閲覧している場合、技術的には可能です。 上記のアプリは実際に私のパスワード、住所、クレジット カード番号を盗みますか? いいえ! 私は、悪意のある人物がこのアプローチでこのデータにアクセスできることを示したかったのです。 過去に示されているように、企
技術に詳しくない読者向けの FAQ
2009年の時点でUIWebViewで色々Javascript動かせた記憶があるけど、最近の発覚以前の話だよ。いつか騒ぎになると思ってたけどな。
技術的に可能ってのと実際やってるかは別の話。データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
しかしまぁ、ブラウザで一通りの活動ができるSNSで、軽量化と通知の安定化くらいしか期待してないアプリ版では要求権限山盛りなの、ずっと胡散臭く思ってたがアプリ内ブラウザにまで仕込みを入れているとは……ブラウザ上で動くサービスじゃなくて、ブラウザを内包してユーザの全行動の基盤に成り代わりたいとかそういう事なのかな。
>技術的に可能ってのと実際やってるかは別の話。>データ盗む気が無いのと盗む下準備バッチリ済ますのも別。それが外部から判別不可能って事実があるよね任意のjsをインジェクション出来る以上、そのコードがある日突然変わる可能性なんて誰も否定できないし。
同じ問題を抱えていたchromeのブラウザ拡張は最新のマニフェストだと動的なコードをインジェクトする事ができなくなった。具体的には、アプリの中にアセットとして組み込んだ静的なjsファイルしかインジェクションできなくなった。出来ることがものすごい成約されたけど、もうリリースされて動いている。アプリのwebviewもそうなるんかなあ
マニフェストに定義させて、webviewの中で任意のドメインしか通信できないようにするとかでもwebviewからネイティブに情報を送れる以上、webviewはfacebookとしか通信しないけど、ネイティブはevil[.]comと通信するのは止められないし
これTampermonkey使えなくなるから例外を認めて欲しい
Tampermonkeyどうすんの? って話がuBlockの次くらいに話題になってたけど結局何もしないでTampermonkey死亡なのか
> データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
そもそも本当に悪用するつもりなら「下準備」なんて要らない ある日突然コードを書き換えれば済む話なので よって、それらを区別する必要がない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
ネトウヨ歓喜 (スコア:-1, フレームのもと)
決め付け的な「どうせ」論ばかりで、スラド的な技術考察がほとんどないのがまた5ch化してると言われる所以なのだろうな
Felix Krause氏のページ [krausefx.com]とか1ミリも読んでなさそう
Re: (スコア:0)
2009年の時点でUIWebViewで色々Javascript動かせた記憶があるけど、最近の発覚以前の話だよ。
いつか騒ぎになると思ってたけどな。
Re: (スコア:1)
技術的に可能ってのと実際やってるかは別の話。
データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
しかしまぁ、ブラウザで一通りの活動ができるSNSで、
軽量化と通知の安定化くらいしか期待してないアプリ版では要求権限山盛りなの、
ずっと胡散臭く思ってたがアプリ内ブラウザにまで仕込みを入れているとは……
ブラウザ上で動くサービスじゃなくて、ブラウザを内包して
ユーザの全行動の基盤に成り代わりたいとかそういう事なのかな。
Re: (スコア:1)
>技術的に可能ってのと実際やってるかは別の話。
>データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
それが外部から判別不可能って事実があるよね
任意のjsをインジェクション出来る以上、そのコードがある日突然変わる可能性なんて誰も否定できないし。
同じ問題を抱えていたchromeのブラウザ拡張は最新のマニフェストだと動的なコードをインジェクトする事ができなくなった。
具体的には、アプリの中にアセットとして組み込んだ静的なjsファイルしかインジェクションできなくなった。
出来ることがものすごい成約されたけど、もうリリースされて動いている。
アプリのwebviewもそうなるんかなあ
マニフェストに定義させて、webviewの中で任意のドメインしか通信できないようにするとか
でもwebviewからネイティブに情報を送れる以上、webviewはfacebookとしか通信しないけど、ネイティブはevil[.]comと通信するのは止められないし
Re: (スコア:0)
これTampermonkey使えなくなるから例外を認めて欲しい
Re: (スコア:0)
Tampermonkeyどうすんの? って話がuBlockの次くらいに話題になってたけど結局何もしないでTampermonkey死亡なのか
Re: (スコア:0)
> データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
そもそも本当に悪用するつもりなら「下準備」なんて要らない
ある日突然コードを書き換えれば済む話なので
よって、それらを区別する必要がない