人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

CSSXSSに関する質問です
キーワードによると、IEでは6月の更新で解決された、とあるのですが
http://d.hatena.ne.jp/keyword/CSSXSS
少なくとも重要な更新は最新状態な
当方のIE/XP Home SP2で、中高(規定のレベル)
で、超あしあとちょう(インターネットゾーン)
ttp://hamachiya.com/junk/getmixi.html
にアクセスした場合
・mixiは表示されない
・Yahoo/Hatena/Google/Amazonは表示される
・livedoorは不明
となります

Q1:上記はどう解釈すれば良いのでしょう?
Q2:mixiだけが表示されないのは、mixiが(YahooやHatenaと違い)
CSSXSSへの対策を行っているから、ということなのでしょうか?

また、JavaScriptを切っていても攻撃を受ける可能性があると記載されているのですが、
超あしあとちょうに関しては、JavaScriptを切ると少なくともIDは表示されなくなります
これは、JSを切れば表示はなくなるが取得自体には関係がない、ということでしょうか?
もしくは「超あしあとちょう」はJS必須だが別の方法を使うと
JSを切っていても被害を受ける、ということでしょうか?

Q3:現在の最新IEで被害を完全に防ぐことのできる設定は存在しますか?

●質問者: flatlight
●カテゴリ:コンピュータ インターネット
✍キーワード:6月 Amazon CSSXSS Google Hatena
○ 状態 :キャンセル
└ 回答数 : 1/1件

▽最新の回答へ

1 ● Memory Alpha

A1,そのページはCSSXSSではなくてIE6のmhtml脆弱性を突いたものです。

で、mhtml脆弱性はいまだにマイクロソフトから対策・修正パッチが出ていませんので、JavaScriptが有効なら防ぎようがありません。

A2、mhtml脆弱性を利用した場合、ターゲットサイトのページの先頭500バイト弱が読めませんので、それ以降にIDが出てくるページじゃないと効果がありません。

mixiの場合がそれに当てはまるのか(対策したのか)どうかは知りませんが。

A3、JavaScriptを切ればID等の情報を抜くことも他サイトに送信することも不可能になるかと思います。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ