CSSXSSに関する質問です

キーワードによると、IEでは6月の更新で解決された、とあるのですが
http://d.hatena.ne.jp/keyword/CSSXSS
少なくとも重要な更新は最新状態な
当方のIE/XP Home SP2で、中高(規定のレベル)
で、超あしあとちょう(インターネットゾーン)
ttp://hamachiya.com/junk/getmixi.html
にアクセスした場合
・mixiは表示されない
・Yahoo/Hatena/Google/Amazonは表示される
・livedoorは不明
となります

Q1:上記はどう解釈すれば良いのでしょう?
Q2:mixiだけが表示されないのは、mixiが(YahooやHatenaと違い)
  CSSXSSへの対策を行っているから、ということなのでしょうか?

また、JavaScriptを切っていても攻撃を受ける可能性があると記載されているのですが、
超あしあとちょうに関しては、JavaScriptを切ると少なくともIDは表示されなくなります
これは、JSを切れば表示はなくなるが取得自体には関係がない、ということでしょうか?
もしくは「超あしあとちょう」はJS必須だが別の方法を使うと
JSを切っていても被害を受ける、ということでしょうか?

Q3:現在の最新IEで被害を完全に防ぐことのできる設定は存在しますか?

回答の条件
  • 1人2回まで
  • 登録:2006/12/12 20:31:42
  • 終了:2006/12/19 20:35:03

回答(1件)

id:memoryalpha No.1

Memory Alpha回答回数4ベストアンサー獲得回数02006/12/19 18:11:17

ポイント10pt

A1,そのページはCSSXSSではなくてIE6のmhtml脆弱性を突いたものです。

で、mhtml脆弱性はいまだにマイクロソフトから対策・修正パッチが出ていませんので、JavaScriptが有効なら防ぎようがありません。

A2、mhtml脆弱性を利用した場合、ターゲットサイトのページの先頭500バイト弱が読めませんので、それ以降にIDが出てくるページじゃないと効果がありません。

mixiの場合がそれに当てはまるのか(対策したのか)どうかは知りませんが。

A3、JavaScriptを切ればID等の情報を抜くことも他サイトに送信することも不可能になるかと思います。

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません