パスワードを忘れた? アカウント作成
16554211 story
セキュリティ

Yahoo! JAPANのヘルプに従いSafariの設定変更をするとクリックジャッキングに弱くなる 41

ストーリー by nagazou
うーむ 部門より

徳丸浩の日記の記事によると、CookieやlocalStorage等でセッションを管理しているサイトがクリックジャッキング攻撃に対する防御対策をしていないと、ほぼ全ての条件でクリックジャッキングの影響を受けるようになるという。このサイトではGoogle Chrome、Edge、Firefox、Safariで設定を変更することで防御対策を無効化し、その影響に関しての調査をおこなった。その結果自体は元記事を見ていただきたいが、

その中でもSafariに備わっているトラッキングの抑制機能「ITP」の無効化をおこなうと、セキュリティを弱くする結果になるリスクが存在する。しかし、ITPの無効化を推奨しているサイトも複数存在する。メジャーどころとしてはYahoo! JAPANがそうで、iOS 11以降に対して「サイト越えトラッキングを防ぐ」を設定してあると、サービス内の機能が限定されるなど、一部のサービスを利用できなくなるという。このためサイト上の説明で「サイト越えトラッキングを防ぐ」機能をオフにしてからYahoo! JAPANのサービスをご利用くださいとの記載も見られる。その一方で

「サイト越えトラッキングを防ぐ」機能の設定変更は、お客様ご自身の責任において変更してください。

との責任回避のための注釈もされている。徳丸浩の日記の記事では、ブラウザのトラッキング機能を解除するとクリックジャッキング攻撃の影響を受けやすくなるとした上で、サイト運営者は、ブラウザの設定変更を促さすべきではないこと、利用者側もブラウザの設定を安易に変更しないことを警告している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年04月07日 19時18分 (#4440204)

    こういうセキュリティやプライバシーに関する設定を、ドメインやオリジン毎に制御できないSafariが悪いです。

    IE6ですら、セキュリティやプライバシーに関する設定をドメインやオリジンごとをセキュリティゾーンに追加して制御できる仕組みだったというのに、最新のブラウザーなのにそういう設計思想が無い時点でどうかしています。

    • by Anonymous Coward

      ドメイン・オリジン毎ならOKとか言う話ではなく、そもそもあらゆるサイトに対してトラッキングの抑制機能をOFFにさせるべきではない。

  • by Anonymous Coward on 2023年04月07日 19時09分 (#4440199)

    「サードパーティークッキーを許可することで正常に動きます」とか「広告ブロックを解除してください」とかサイト側の都合でユーザーのセキュリティを脆弱にするパターンに近いね。
    複数サイトの連携なんてそういう設定なしでも実現する手段は他にあるけど、まぁ実際目の前で動いてないのを直すのに手っ取り早いのはユーザー側で設定変更すること。
    正直言えばリンク先のような状況なら「サイト側に脆弱性があるのでこの書き込みが私によるものとは限りません」と言い訳できる状況の方がむしろ良いという気も少しする。炎上ネタとか。

    • by Anonymous Coward

      やっぱりjavaScriptは無効化しないとな!

      • by Anonymous Coward

        懺悔します
        コンテンツ全部document.writeにしたことがあります

        • by Anonymous Coward

          それにはどんなメリットがあるの?

          • by Anonymous Coward

            SPAってそういうもんじゃね。

      • by Anonymous Coward

        やっぱりjavaScriptは無効化しないとな!

        はっあまいな
        その上でオレオレ署名と不明なアプリケーションのインストールも許可だ

        # 公的機関や金融機関やショッピングサイトが率先してやってました故

  • by Anonymous Coward on 2023年04月08日 2時28分 (#4440405)

    広告ブロックせずにしましょう。
     当然無視します。

    広告ブロックを解除しないと表示しないサイトは
     使いません。

    普通はそんな使い方ですね。

    • by Anonymous Coward

      自身に決定権があるとそれでいいんだけど、会社のシステムだと命令に従わざるを得ず。
      そんなシステム使うなよって話なんだが、実際あるのだろうか。
      実際に被害にあってる企業も多いのであるんだろうなぁ・・・

  • by Anonymous Coward on 2023年04月08日 7時48分 (#4440452)

    iPhoneは決裁権を持つユーザー集合体。
    稼ぎ頭のiPhoneユーザー向けにサイトを作らないといけないわけですよ。
    ここに広告の強制を行えば、サイト全体が更にきつくなってやりづらくなる。
    そう考えればこの世界がまだ保っているのはiPhoneのおかげ。
    と思ったことはないのか?

    • by Anonymous Coward

      アプリ内のWebブラウザで広告表示されたり別の広告ブロックアプリでブロックされてたりバラバラなのも制御できるようにしてくれ。
      今はUserScriptが動かせるんだからできるはずなんだけどな。誰か作ってよ。

  • by Anonymous Coward on 2023年04月08日 15時29分 (#4440675)

    顧客から得た使える情報は全部使う
    同意を得ていれば何しても良いと考えている(=良心や倫理観が無い)

    ライン/ヤフー/ソフトバンク系のサービス全部、自分のメイン端末には絶対に導入しない

    • by Anonymous Coward

      ですな!

      …と言いたいところだけど
      AriExpressとかアリババ系サービスの
      交代案が思いつかない

typodupeerror

人生unstable -- あるハッカー

読み込み中...