楽天ad4Uで悪用されたCSSの仕様性、AppleがSafari 5.0で修正 38
ストーリー by hylom
改善の方向へ 部門より
改善の方向へ 部門より
あるAnonymous Coward 曰く、
一昨日10月のストーリー「楽天・ドリコムの行動ターゲッティング広告、HTML/CSS仕様の不備を突いて訪問先サイトを調査」で話題になったCSSの仕様について、今月11日にリリースされたSafari 5.0で変更された。
Appleのリリース「Safari 5.0 および Safari 4.1 のセキュリティコンテンツについて」が次のように述べている。
対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降
影響:悪意を持って作成された Web サイトにアクセスすると、ユーザがアクセスしたサイトを特定できる可能性がある。
説明:WebKit による CSS で訪問済みの疑似クラスの処理に、デザインの問題が存在します。悪意を持って作成された Web サイトにアクセスすると、ユーザがアクセスしたサイトを特定できる可能性があります。このアップデートでは、訪問したリンクかどうかを基にしたスタイルページへの Web ページ機能を制限します。同様の修正はFirefox 4でも予定されている(Firefox 4 for developers — Mozilla Developer Center、2010年4月6日のストーリー)。
影響 (スコア:3, 興味深い)
そうか、ad4Uは悪意という認識で良かったのか。
Re:影響 (スコア:1, 興味深い)
そうか、ad4Uは悪意という認識で良かったのか。
利用者が意図しない所で、
「自分が今訪れているサイトとは関係がない」サイトへの訪問の有無をチェックされるんですよね?
私なら悪意だと判断します。
スパムよりはウィルスにちょっと近い程度の悪意を感じます。
Re:影響 (スコア:1, 興味深い)
楽天系・ドリコム系は利用しない、Javascriptはデフォルトオフ、にしておくのが最善。
なにが4Uだ (スコア:0)
なーんて、厨二っぽい事言ってみるテスト
Re:なにが4Uだ (スコア:2, おもしろおかしい)
you 「うん」
楽天「じゃあ、関係ありそうな広告を見せてあげる」
you 「え!?」
楽天「あなたのためだから」
you 「は?」
楽天「あなたのためだから」
Re: (スコア:0)
IIJ4Uの知名度も落ちたもんだな。時代を感じる。
Re: (スコア:0)
「たいてい」って書いてあるけど。
Re: (スコア:0)
Uはyouじゃなくて∪なんですよ、本当は。
つまり「アドフォーカップ」なわけでして、
「お前のものは俺のもの、俺のものも俺のもの。全部よこせ!」を実現するための広告なんです。
Re:なにが4Uだ(嵐:-1) (スコア:0)
Re: (スコア:0)
IE 8 でも対処済み?? (スコア:3, 興味深い)
とあるのですが、たしかに楽天カスタムad4U/メニューリリースのご案内/10年4~6月 « 最新メディアリリース情報 [mediaradar.jp]にも
とありますね。
Re: (スコア:0)
仕様性 (スコア:0)
って何?
脆弱性とは言えない仕様上の欠陥、みたいな意味かな... 確かにそういう現象を実装上の脆弱性から区別したい気持ちはわからんでもないが。
Re:仕様性 (スコア:1, すばらしい洞察)
Re: (スコア:0)
もしかして: 使用性 [google.co.jp]
ググっても辞書ひいても意味がわからない単語ですねぇ
Re: (スコア:0)
客 「これバグじゃないんですか?
サポート 「仕様です(キッパリ
独白劇 (スコア:0)
客 「これバグじゃないんですか?
開発者A「これってバグなんじゃねぇの?」
開発者A「いや、このバグは仕様性が高いから仕様だろ」
開発者A「あ、俺いまバグって言っちゃったよね、ね。バグだよね。」
サポート 「仕様です(キッパリ
Re: (スコア:0)
脆弱性から「性」だけを残したら、欠陥みたいな意味は全く失われる。
仕様的な性質、みたいな?
Re:仕様性 (スコア:1)
どうかな?
脆弱であるってことは、ある局面では欠陥だからね。
脆弱であることと、同等に仕様という言葉を考えているのかもしれない。
つまり、どなかたの頭には、仕様にはアプリオリに問題があるとのだ..ということではなかろうか?
たぶん、ご自分の作られた仕様がそうであったがためにそう思うにいたったのであろう...
ということは簡単に推論されるけどね。
しかし、どうしてこうも角が取れていない上に一意性に欠ける文章が書けるのか、不思議だ。
あと、Appleらしい悪文だよね。
「悪意を持って作成された Web サイトにアクセスすると、ユーザがアクセスしたサイトを特定できる可能性があります。
このアップデートでは、訪問したリンクかどうかを基にしたスタイルページへの Web ページ機能を制限します」
>悪意を持って作成された Web サイト
善意でやったら出来ないの?
>定できる可能性があります
誰が特定できるの?
>スタイルページへの Web ページ機能
なんのことだ?
まぁ、知っていたらわかるけど、素人に示す説明じゃないよな。
ここらへんは、MSの方がずっとマシなんだよね。
Re: (スコア:0)
ただのtyopではないかと思ったんだが、どうなん。。。
しかし、コレを商売にしてる人はどう対応すんだろね。
FireFoxとかも追従するだろうしなぁ。
Re: (スコア:0)
> ただのtyopではないかと思ったんだが、どうなん。。。
アレたまでは「脆弱性」になっているから、いつものhylom的編集メソッドかと。
(tyopではなく)typoで「脆弱性(ぜいじゃくせい)」→「仕様性(しようせい)」に変換されるとは考えにくいので、
意図的な編集行為だと思われますが、何を意図した編集なのかはいつものとおり想像つきません。
Re:仕様性 (スコア:1)
まったく、しようがないなあ。
#言ったもん勝ち?
##いや、むしろ負k(ry
Re: (スコア:0)
Re: (スコア:0)
脆弱性を仕様の不備に直そうとしてタイトルの方で失敗したようですね
「バグ」って言葉は開発者が認めない限りバグじゃないから使うべきではない、みたいな考え方の人なんでしょう
Re: (スコア:0)
Re: (スコア:0)
修正しないってことは、ミスじゃないんでしょう。
変な造語を生み出さないで欲しいんだけど・・・。
Re: (スコア:0)
物書きを名乗るのはやめて欲しいよ。
いつもホント恥ずかしい。
Re: (スコア:0)
specified behavior → 仕様通りの挙動?
超訳。
一昨日10月 (スコア:0)
広告囲い込みの一環か (スコア:0)
具体的に、どういう対策がされたのか? (スコア:0)
つか、それって、CSSの仕様(たとえばCSS 3.0の仕様に)含まれることになるのかとか、いろいろと気になるよね。
Re:具体的に、どういう対策がされたのか? (スコア:3, 参考になる)
CSS3 Selectors Test [css3.info]を見れば分かると思いますが,:linkセレクタと:visiedセレクタが無効化されました.
Re:具体的に、どういう対策がされたのか? (スコア:1, 参考になる)
それらのテストが失敗するようになったのは確かですが、無効化されたというのは大雑把すぎますね。色しか変えられなくなって、JavaScriptから色を取得することもできなくなりました。要するにMozillaが行った対策と同じです。
Re:具体的に、どういう対策がされたのか? (スコア:3, 参考になる)
もうちょっと突っ込むと、:visited が有効でなくなり:linkで指定されたスタイルになるという感じかも。
なので色の変更以外にも適用できるスタイルはあるみたいです。
サンプルつくりました。 [trapon.jp]
Re:具体的に、どういう対策がされたのか? (スコア:3, 興味深い)
一部訂正:背景色も含めて色関連は適用できるけど、heightやwidthのサイズ、text-decoration関連は適用できないっぽい
Re: (スコア:0)
Re: (スコア:0)
親ACですが、超サンクス!