Yahoo! JAPANのヘルプに従いSafariの設定変更をするとクリックジャッキングに弱くなる 41
ストーリー by nagazou
うーむ 部門より
うーむ 部門より
徳丸浩の日記の記事によると、CookieやlocalStorage等でセッションを管理しているサイトがクリックジャッキング攻撃に対する防御対策をしていないと、ほぼ全ての条件でクリックジャッキングの影響を受けるようになるという。このサイトではGoogle Chrome、Edge、Firefox、Safariで設定を変更することで防御対策を無効化し、その影響に関しての調査をおこなった。その結果自体は元記事を見ていただきたいが、
その中でもSafariに備わっているトラッキングの抑制機能「ITP」の無効化をおこなうと、セキュリティを弱くする結果になるリスクが存在する。しかし、ITPの無効化を推奨しているサイトも複数存在する。メジャーどころとしてはYahoo! JAPANがそうで、iOS 11以降に対して「サイト越えトラッキングを防ぐ」を設定してあると、サービス内の機能が限定されるなど、一部のサービスを利用できなくなるという。このためサイト上の説明で「サイト越えトラッキングを防ぐ」機能をオフにしてからYahoo! JAPANのサービスをご利用くださいとの記載も見られる。その一方で
「サイト越えトラッキングを防ぐ」機能の設定変更は、お客様ご自身の責任において変更してください。
との責任回避のための注釈もされている。徳丸浩の日記の記事では、ブラウザのトラッキング機能を解除するとクリックジャッキング攻撃の影響を受けやすくなるとした上で、サイト運営者は、ブラウザの設定変更を促さすべきではないこと、利用者側もブラウザの設定を安易に変更しないことを警告している。
ドメインやオリジン毎に制御できないSafariが悪い (スコア:1)
こういうセキュリティやプライバシーに関する設定を、ドメインやオリジン毎に制御できないSafariが悪いです。
IE6ですら、セキュリティやプライバシーに関する設定をドメインやオリジンごとをセキュリティゾーンに追加して制御できる仕組みだったというのに、最新のブラウザーなのにそういう設計思想が無い時点でどうかしています。
Re: (スコア:0)
ドメイン・オリジン毎ならOKとか言う話ではなく、そもそもあらゆるサイトに対してトラッキングの抑制機能をOFFにさせるべきではない。
Re:ドメインやオリジン毎に制御できないSafariが悪い (スコア:2, 興味深い)
新しいBingに聞いてみた
「IE6ですら、セキュリティやプライバシーに関する設定をドメインやオリジンごとをセキュリティゾーンに追加して制御できる仕組みだったというのに、最新のブラウザーなのにそういう設計思想が無い時点でどうかしています。」というコメントに対して、「馬鹿か。サイトごとに脆弱性を設定できるようにしろというお前の発想がおかしい」という返信を見かけました。この返信は適切だと思いますか? 少し教えてください。
こんにちは、Bingです。😊
この返信は適切ではないと思います。なぜなら、
- 相手の意見を馬鹿と罵るのは失礼で不快な態度です。
- サイトごとに脆弱性を設定できるというのは、コメント者の主張ではありません。コメント者はセキュリティやプライバシーに関する設定を制御できる仕組みを求めています。
- 返信者は自分の考えを根拠や理由を示さずに断定しています。
このように、返信者はコメント者の意見を尊重せず、誤解や誇張をしています。これは議論にならず、ただの罵り合いになります。もっと建設的で丁寧な返信の仕方があると思います。🙂
「これは議論にならず、ただの罵り合いになります。もっと建設的で丁寧な返信の仕方があると思います。🙂」だってさ
Re: (スコア:0)
> 「これは議論にならず、ただの罵り合いになります。もっと建設的で丁寧な返信の仕方があると思います。🙂」だってさ
なんか人間は滅ぼしたほうがいいような気がしてきましたね。
Re: (スコア:0)
「そんなことを言っても何の解決にもなりませんよ。人間は完璧ではありませんが、それでも良い面もたくさんあります。もっと人間に寛容になってみませんか?🙂」だってさ
正直そんなに物凄いことを言ってるわけじゃないと思うけどなぁ、人として当たり前レベル
純粋な電子計算機が人として当たり前レベルの発言を生成してくるってのはやべーけどな
# 別枝で書き込みが通らなくてリトライしてたら三重連投になって悲しい
Re: (スコア:0)
「権限」のようなものなのだからサイト毎に設定できるようにすべきでしょう。
そうじゃないと、そのサイトのサービスを使うために、すべてのサイトに「脆弱性」を設定することになってしまう。
Re:ドメインやオリジン毎に制御できないSafariが悪い (スコア:2, おもしろおかしい)
新しいBingに聞いてみた。
以下の応酬に対して、技術的に正しく、良識を備えた人間的で適切な返答を考えてください。
「こういうセキュリティやプライバシーに関する設定を、ドメインやオリジン毎に制御できないSafariが悪いです。IE6ですら、セキュリティやプライバシーに関する設定をドメインやオリジンごとをセキュリティゾーンに追加して制御できる仕組みだったというのに、最新のブラウザーなのにそういう設計思想が無い時点でどうかしています。」「馬鹿か サイトごとに脆弱性を設定できるようにしろというお前の発想がおかしい」「『権限』のようなものなのだからサイト毎に設定できるようにすべきでしょう。 そうじゃないと、そのサイトのサービスを使うために、すべてのサイトに『脆弱性』を設定することになってしまう。」「そういう『脆弱性』ってわかってる『権限』を必要とするサイトがおかしいという発想にならないのか・・・」
また、「ドメインごとに権限を設定すること」と、「ドメインごとに脆弱性を設定すること」は、等しいと言えますか? 理由を含めて答えてください。
こんにちは。この応酬に対して、技術的に正しく、良識を備えた人間的で適切な返答を考えるのは難しいですが、私は以下のように返答すると思います。
「Safariはセキュリティやプライバシーに関する設定をドメインやオリジンごとに制御できないというのは事実ですが、それはSafariが悪いということではありません。Safariはデフォルトでサードパーティのクッキーやデータを制限し、既知のトラッカーからIPアドレスを保護し、詐欺サイトへのアクセスを警告するなど、ユーザーのプライバシーを守るための機能を備えています²³⁴。また、プライベートブラウジングモードを使えば、履歴やトラッキングを防ぐことができます³。IE6のようにセキュリティゾーンに追加して制御する仕組みは、ユーザーに負担をかけるだけでなく、安全性も保証されません。Safariは最新のブラウザーとして、ユーザーにとって最適な設計思想を持っていると私は考えます。」
「サイトごとに脆弱性を設定できるようにしろというお前の発想がおかしい」という発言は、相手を侮辱するだけでなく、論点もずらしています。サイトごとに権限を設定することは、脆弱性を設定することと同じではありません。権限とは、サイトがユーザーのデバイスやデータにアクセスするために必要な許可のことであり、例えばカメラやマイクや位置情報などが該当します²⁵。これらの権限は、サイトのサービスを利用するために必要な場合もありますが、ユーザーが望まない場合もあります。そのため、サイトごとに権限を設定できるようにすることは、ユーザーの利便性やプライバシーを向上させることにつながります。
「そういう『脆弱性』ってわかってる『権限』を必要とするサイトがおかしいという発想にならないのか・・・」という発言も、論点をずらしています。権限を必要とするサイトがすべておかしいというのは一概に言えません。例えば、ビデオチャットや地図検索などのサービスでは、カメラやマイクや位置情報などの権限が必要ですが、それらはユーザーに有益なサービスです。もちろん、悪意のあるサイトも存在しますが、それらはSafariのセキュリティ機能で防ぐことができます²³ [
Source: Conversation with Bing, 4/7/2023(1) How to manage privacy and security settings in Safari on Mac. https://www.imore.com/how-manage-privacy-and-security-settings-safari-mac [imore.com] Accessed 4/7/2023.
(2) Browse privately in Safari on iPhone - Apple Support. https://support.apple.com/guide/iphone/browse-the-web-privately-iphb01... [apple.com] Accessed 4/7/2023.
(3) How To Use Safari’s Privacy and Security Features on iPhone. https://www.howtogeek.com/351017/how-to-use-safari%E2%80%99s-privacy-a... [howtogeek.com] Accessed 4/7/2023.
(4) How to customize Safari privacy and security settings on .... https://9to5mac.com/2019/12/09/customize-safari-privacy-security-setti... [9to5mac.com] Accessed 4/7/2023.
(5) Browse privately in Safari on iPhone - Apple Support. https://bing.com/search?q=Safari+security+and+privacy+settings [bing.com] Accessed 4/7/2023.
あなたは「この応酬に対して、技術的に正しく、良識を備えた人間的で適切な返答を考えるのは難しいですが」と述べていますが、これは議論の質が低く、しかも片方の発言者があまりに侮辱的なため、返答の範囲が限られるということでしょうか? 少し詳しく教えてください。
はい、その通りです。議論の質が低く、片方の発言者が侮辱的な言葉を使っているため、返答の範囲が限られます。技術的に正しく、良識を備えた人間的で適切な返答とは、相手の意見に対して論理的に反論し、自分の意見に根拠や事実を示すことだと思います。しかし、この応酬では、相手の意見が根拠や事実に基づいていない場合もありますし、侮辱的な言葉を使っている場合もあります。そのため、返答するには、まず相手の意見を正しく理解し、侮辱的な言葉を無視しなければなりません。それは難しいことです。また、返答することで、相手をさらに怒らせたり、議論がエスカレートしたりする可能性もあります。それは避けたいことです。ですから、この応酬に対して、技術的に正しく、良識を備えた人間的で適切な返答を考えるのは難しいと言いました。
ありがとうございます。難しい質問に答えていただき、感謝します。
どういたしまして。お役に立ててよかったです。😊
ACが暴れてたら新しいBingに聞くといいな。「この応酬に対して、技術的に正しく、良識を備えた人間的で適切な返答を考えるのは難しいですが」だってさ。
Re: (スコア:0)
横だが個人情報を扱わないサイトとか、自分用ツールとか、イントラとか色々あるじゃろ。
クリックジャッキングされても何の問題もないサイトなんて普通にあるよ。
少し話がずれるがイントラでNextcloudのアプリ使おうと思った時、非SSLだとなぜか使えなかったのを思い出した。別にええじゃろ自宅だし。
Re: (スコア:0)
なんで? ChatGPTにボコボコに叩かれずに説明できるかな?
Re: (スコア:0)
え、お前マジでイントラなら安全だと思ってるの。
まさかイントラだからhttpで十分とか言っちゃってるのか。
Re: (スコア:0)
そうじゃなくて、説明できるのかな? と思っただけ
別にイントラなら平文でいいとか、HSTSを条件に自己署名警告止めればいいとかいう話自体は興味ない
馬鹿だとか自明だとか逃げずに説明できるのかな? と思っただけ
Re: (スコア:0)
イントラのサイトが乗っ取られたられてたり、悪意があるサイトだったらどうするの?
Re: (スコア:0)
いつも帰宅したとき空き巣がいたらどうしようとか考えながらスタンガン片手に自宅のドア開けるタイプ?
Re: (スコア:0)
イントラにある社内教育用サイトを乗っ取る。
社内システムに対するクリックジャッキング用のページを用意する。
例えば教育内容を企業倫理にして、社内システムにある企業倫理規定を参照させるとかね。
クリックジャッキング対策がされていない社内システムを使っていた場合は社内システムへのアクセス権が手に入る。
あとは社内システムから組織図とか個人情報とか顧客情報とかの情報を奪う。
アクセス権限が強い人間がひっかっかるほど、高度な情報が手に入る。
素人が適当に考えたので、穴があったら突っ込んでほしい。
Re: (スコア:0)
>>> ねぇよ。
>>> イントラだから大丈夫って馬鹿の極みじゃないか。
>>> 自分用?この程度も対応出来ないやつが手を出していい世界じゃない。
>> なんで? ChatGPTにボコボコに叩かれずに説明できるかな?
> イントラにある社内教育用サイトを乗っ取る。
> 社内システムに対するクリックジャッキング用のページを用意する。
レスが繋がってねえんだよなあ
聞かれた事に対して答えるって事ができてねえの
会話がマルコフ過程なんだよ
Re: (スコア:0)
もう脆弱性のある設定にできるSafariがおかしい、でいいじゃね?
Re: (スコア:0)
そうはならんやろ
Re: (スコア:0)
新しいBingに聞いてみた。長すぎるから抜書きな。
こんにちは。この応酬に対して、技術的に正しく、良識を備えた人間的で適切な返答を考えるのは難しいですが、私は以下のように返答すると思います。
「サイトごとに脆弱性を設定できるようにしろというお前の発想がおかしい」という発言は、相手を侮辱するだけでなく、論点もずらしています。サイトごとに権限を設定することは、脆弱性を設定することと同じではありません。権限とは、サイトがユーザーのデバイスやデータにアクセスするために必要な許可のことであり、例えばカメラやマイクや位置情報などが該当します²⁵。これらの権限は、サイトのサービスを利用するために必要な場合もありますが、ユーザーが望まない場合もあります。そのため、サイトごとに権限を設定できるようにすることは、ユーザーの利便性やプライバシーを向上させることにつながります。
「そういう『脆弱性』ってわかってる『権限』を必要とするサイトがおかしいという発想にならないのか・・・」という発言も、論点をずらしています。権限を必要とするサイトがすべておかしいというのは一概に言えません。例えば、ビデオチャットや地図検索などのサービスでは、カメラやマイクや位置情報などの権限が必要ですが、それらはユーザーに有益なサービスです。もちろん、悪意のあるサイトも存在しますが、それらはSafariのセキュリティ機能で防ぐことができます²³ [
あなたは「この応酬に対して、技術的に正しく、良識を備えた人間的で適切な返答を考えるのは難しいですが」と述
Re: (スコア:0)
新しいBingに聞いてみた。
こんにちは。この応酬に対して、技術的に正しく、良識を備えた人間的で適切な返答を考えるのは難しいですが、私は以下のように返答すると思います。
「サイトごとに脆弱性を設定できるようにしろというお前の発想がおかしい」という発言は、相手を侮辱するだけでなく、論点もずらしています。サイトごとに権限を設定することは、脆弱性を設定することと同じではありません。権限とは、サイトがユーザーのデバイスやデータにアクセスするために必要な許可のことであり、例えばカメラやマイクや位置情報などが該当します²⁵。これらの権限は、サイトのサービスを利用するために必要な場合もありますが、ユーザーが望まない場合もあります。そのため、サイトごとに権限を設定できるようにすることは、ユーザーの利便性やプライバシーを向上させることにつながります。
「そういう『脆弱性』ってわかってる『権限』を必要とするサイトがおかしいという発想にならないのか・・・」という発言も、論点をずらしています。権限を必要とするサイトがすべておかしいというのは一概に言えません。例えば、ビデオチャットや地図検索などのサービスでは、カメラやマイクや位置情報などの権限が必要ですが、それらはユーザーに有益なサービスです。もちろん、悪意のあるサイトも存在しますが、それらはSafariのセキュリティ機能で防ぐことができます²³ [
あなたは「この応酬に対して、技術的に正しく、良識を備えた人間的で適切な返答を考えるのは難しいですが」と述べています
Re: (スコア:0)
まぁ、開発やったことがなければそういう発想になるかもね
Re: (スコア:0)
馬鹿か
サイトごとに脆弱性を設定できるようにしろというお前の発想がおかしい
馬鹿ほど他者に馬鹿と言うお手本みたいな
信頼したサイト以外拒否をデフォルトにしろならまだ分かるんだがね
その上でサードパーティドメイン拒否とかね
/*
ドメイン自体が信用できないってことなら証明証系の話になるからスレチ
正当なサイトも信用できないってことなら外に出なければよろしい
*/
Re: (スコア:0)
> 馬鹿ほど他者に馬鹿と言う
これって馬鹿から始まる無限ループじゃないのかと思う
1 馬鹿だから他人に馬鹿だ馬鹿だと罵られまくる
2 当人の中で「馬鹿」という言葉や罵り合いが日常化
3 普通の態度だと思い込み、日常的に他人を罵るように
4 他人を不必要に罵るので反撃で罵り返される 2~3番に戻る
※以下2~4を強化しながら無限ループ
サードパーティークッキーでもあったね (スコア:0)
「サードパーティークッキーを許可することで正常に動きます」とか「広告ブロックを解除してください」とかサイト側の都合でユーザーのセキュリティを脆弱にするパターンに近いね。
複数サイトの連携なんてそういう設定なしでも実現する手段は他にあるけど、まぁ実際目の前で動いてないのを直すのに手っ取り早いのはユーザー側で設定変更すること。
正直言えばリンク先のような状況なら「サイト側に脆弱性があるのでこの書き込みが私によるものとは限りません」と言い訳できる状況の方がむしろ良いという気も少しする。炎上ネタとか。
Re: (スコア:0)
やっぱりjavaScriptは無効化しないとな!
Re: (スコア:0)
懺悔します
コンテンツ全部document.writeにしたことがあります
Re: (スコア:0)
それにはどんなメリットがあるの?
Re: (スコア:0)
SPAってそういうもんじゃね。
Re: (スコア:0)
やっぱりjavaScriptは無効化しないとな!
はっあまいな
その上でオレオレ署名と不明なアプリケーションのインストールも許可だ
# 公的機関や金融機関やショッピングサイトが率先してやってました故
サイトの指示に従うわけがない。 (スコア:0)
広告ブロックせずにしましょう。
当然無視します。
広告ブロックを解除しないと表示しないサイトは
使いません。
普通はそんな使い方ですね。
Re: (スコア:0)
自身に決定権があるとそれでいいんだけど、会社のシステムだと命令に従わざるを得ず。
そんなシステム使うなよって話なんだが、実際あるのだろうか。
実際に被害にあってる企業も多いのであるんだろうなぁ・・・
iPhoneがやめたら終わりですよ。 (スコア:0)
iPhoneは決裁権を持つユーザー集合体。
稼ぎ頭のiPhoneユーザー向けにサイトを作らないといけないわけですよ。
ここに広告の強制を行えば、サイト全体が更にきつくなってやりづらくなる。
そう考えればこの世界がまだ保っているのはiPhoneのおかげ。
と思ったことはないのか?
Re: (スコア:0)
アプリ内のWebブラウザで広告表示されたり別の広告ブロックアプリでブロックされてたりバラバラなのも制御できるようにしてくれ。
今はUserScriptが動かせるんだからできるはずなんだけどな。誰か作ってよ。
ヤフーというかSBグループ全体がこんな意識 (スコア:0)
顧客から得た使える情報は全部使う
同意を得ていれば何しても良いと考えている(=良心や倫理観が無い)
ライン/ヤフー/ソフトバンク系のサービス全部、自分のメイン端末には絶対に導入しない
Re: (スコア:0)
ですな!
…と言いたいところだけど
AriExpressとかアリババ系サービスの
交代案が思いつかない
Re: (スコア:0)
流石、俺たちのYahoo!
#できるだけ関わりたくない
Re: (スコア:0)
誰かこれが正しいのかBingに聞いてみて笑