JavaScriptによってアドレスバーが偽装されてしまう事があるようです。


administrator権限なしのユーザが何かをクリックしたことにより、
JavaScriptによってアドレスバーが偽装されてしまうことがあるのでしょうか?


フィッシングサイトではHOSTSを書き換えてしまう方法もあるようですが
HOSTSファイルはadministrator権限がないと書き換えられないため
常に一般ユーザ権限(Users)でログオンしていれば
HOSTSファイルが書き換えられてしまうようなことがないと思っています。
JavaScriptも同様でしょうか?

http://www.itmedia.co.jp/enterprise/articles/0411/11/news005.html
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041118/152787/

何卒よろしくお願い致します。

回答の条件
  • 1人2回まで
  • 登録:2009/02/16 03:02:16
  • 終了:2009/02/20 02:36:05

ベストアンサー

id:deep_one No.2

deep_one回答回数86ベストアンサー獲得回数62009/02/16 17:23:17

ポイント60pt

二つ目の記事の方では手法が特定されていませんが、一つ目の記事で紹介されている手法は実行ユーザーのアクセス権は関係しません。

これは実際にアドレス情報を誤認させているのではなく、アドレスバーを「アドレスバーの画像」で隠しているだけだからです。(ブラウザーはじぶんが接続しているサイトを正しく認識しています。)


記事にあるとおり、ブラウザの実装(ブラウザの画面外に画像を配置できてしまう)の問題です。



一番根本的な対策としてはJavascriptの実行自体を禁止してしまうことになります。(最近はほぼ不可能になりつつありますが。)



但し、このタイプの手口は最近あまり話題になっていません。記事にある例のように、失敗する可能性が高いからではないかと思われます。


なお、本件とは直接関係ありませんが、「DNSキャッシュ・ポイズニング」などの手法でURLとIPアドレスの対応関係を不正に変更された場合、ローカルのコンピューターでは攻撃を阻止することが出来ません。(DNSキャッシュ・ポイズニングかファーミングPharmingで情報を当たって下さい。)


こちらの方が危険度が高い攻撃なので、攻撃手法は既にシフトしているのではないかと思います。

その他の回答(1件)

id:esecua No.1

esecua回答回数510ベストアンサー獲得回数102009/02/16 08:10:47

ポイント60pt

JavaScriptによってアドレスバーが偽装されてしまうことがあるのでしょうか?

これは単にJavascriptでアドレスバーの上に偽装した画像などをjavascriptで座標を指定し乗せているだけに過ぎません。

変だなと思えばブラウザを小さくしてみれば直ぐにわかります。(と言いますかこんな低レベルなフィッシングサイトはもう無いと思うのですが。)


JavaScriptも同様でしょうか?

javascriptはexeなどの実行ファイルではありません。あくまでもブラウザで動くクライアントサイドのスクリプトです。

もちろんJavascriptを使用し何らかのフィルを開かせるサイトもあります。

javascriptはユーザー毎の指定はありません。

ブラウザ毎の指定になります。

もしセキュリティ上の理由からjavascriptを使わせたくないのであれば無効設定にしてみてはどうでしょうか。

ただ現在多くのサイトでjavascriptは使用され、無効にすることにより使用も制限になりますので、ご注意を。

http://www.google.co.jp/search?q=javascript+%E7%84%A1%E5%8A%B9&l...

id:deep_one No.2

deep_one回答回数86ベストアンサー獲得回数62009/02/16 17:23:17ここでベストアンサー

ポイント60pt

二つ目の記事の方では手法が特定されていませんが、一つ目の記事で紹介されている手法は実行ユーザーのアクセス権は関係しません。

これは実際にアドレス情報を誤認させているのではなく、アドレスバーを「アドレスバーの画像」で隠しているだけだからです。(ブラウザーはじぶんが接続しているサイトを正しく認識しています。)


記事にあるとおり、ブラウザの実装(ブラウザの画面外に画像を配置できてしまう)の問題です。



一番根本的な対策としてはJavascriptの実行自体を禁止してしまうことになります。(最近はほぼ不可能になりつつありますが。)



但し、このタイプの手口は最近あまり話題になっていません。記事にある例のように、失敗する可能性が高いからではないかと思われます。


なお、本件とは直接関係ありませんが、「DNSキャッシュ・ポイズニング」などの手法でURLとIPアドレスの対応関係を不正に変更された場合、ローカルのコンピューターでは攻撃を阻止することが出来ません。(DNSキャッシュ・ポイズニングかファーミングPharmingで情報を当たって下さい。)


こちらの方が危険度が高い攻撃なので、攻撃手法は既にシフトしているのではないかと思います。

  • id:ku__ra__ge
    とりあえずFirefoxとNoScriptを利用しておけば、JavaScriptの脆弱性とかは9割以上防げると思います。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません