そろそろクリックジャッキングについて一言いっておくか
Firefox3で「サードパーティのCookieも保存する」をオフにする。
防げる。
いずれのブラウザにもサードパーティ製のcookieを制限するオプションがあるが、Firefox3以外だと、フレーム内表示された場合に「新規にcookieを保存しない」だけで保存済みのcookieは送信してしまう。
軽く調べてみたところ、次のようになった。(間違ってたら教えてください)
サードパーティのcookieの新規保存 | サードパーティの保存済みcookieの送信 | 表示中のドメインのcookieの保存/送信 | |
---|---|---|---|
IE6,7,8(デフォルト) | x | o | o |
IE6,7,8(セキュリティ高) | x | x | x |
Opera9.6(デフォルト) | o | o | o |
Opera9.6(制限) | x | △ | o |
Safari(制限/デフォルト) | x | o | o |
Safari(全て受け入れる) | o | o | o |
Firefox2(デフォルト) | o | o | o |
Firefox2(ブロック) | x | x | x |
Firefox3(デフォルト) | o | o | o |
Firefox3(制限) | x | x | o |
oは送られた。xは送られなかった。Operaが△なのは画面遷移したら、cookieが送られてしまったため。
個人的な見解だけれども、ブラウザはアドレスバーに表示されているドメイン以外へのcookieの送信を(ユーザーが明示的に許可しない限り)やめるべきだし、それが適切なデフォルトだと思う。サイト側のJavaScriptでフレーム拒否とか、JavaScript有効になってる前提だし、(現実的な対策ではあるけれども)本質的な対策ではないでしょう。外部ドメインへのcookieの送信が無効であれば、クリックジャッキングで可能な攻撃は大幅に制限される。認証が不要な掲示板に自動で犯行予告を投稿させてIPアドレスをログに残させるぐらいだ。(それはクリックジャッキングを使わなくても出来る)
サードパーティへのcookieの送信が制限されても、外部サイトへのcookieの送信を前提としているサービス*1が使えなくなるぐらいだ。フレーム禁止しないと、本物のサイトに攻撃者のサイトを重ね合わせる手法が防げないけれど、それに引っかかる人間は元々フィッシング詐欺に引っかかる。*2
X-FRAME-OPTIONSのような、サイト側からの意思表示が出来る仕組みを作るのであれば「外部サイトに埋め込まれた場合は決してcookieを送信しないでください」があってもいいんじゃないかなあ、と思います。
失敗事例の公開はとても大切なことです
これは例え話で、実際の人物団体とは一切関係がありませんが、
笑いを取るためにウンコ漏らしトークをしているのに
オッサンが「勇気を出して失敗事例を公開した、偉い!」 ← 勘違い
モヒカンが「ウンコ漏らさないのは基本。バカにして何が悪い。」 ← フレームしたいだけ
上から目線が「定期的にウンコを出さないとウンコが漏れるのは当然。」 ← 知ってるよバカ
みたいな茶番ですね。
ちなみに某社の人間は笑いを取るために例え話ではなく本当にウンコを漏らした話をしますし、それだけではありきたりで大して面白くないので、どこで漏らしたか、何歳で漏らしたか、などのシチュエーションが重要になります。電車の中やタクシーだとポイントが高い。
今週のお題:私とはてなとの出会い
そして別れ
みなさんDTIはクソなので解約しましょう
「ブログに書きますよ?」って言ってみたかったけど恥ずかしいので言わなかった。
- 9月末に引っ越しするので解約する旨を伝える
- 書面で解約と機材の返却用宛名ラベル送ると言われる
- 引っ越しするんですけど届くんですかね、新しい住所言いますか?
- 転送届け出していれば大丈夫です
- 届かない
- 10,11,12,1月分を使用していないのに請求
解約書類が9月の29日とか転送されるかされないかの微妙な時期に送られたらしく、それでなくても普通郵便が届かない可能性だってあるだろうし、そもそも引っ越ししているので現在もご利用いただいているわけねーだろ。そもそもこっちでも送られたかどうかなんて確認できないし、送ったことにして放置プレーにしておけばいつまでも解約できないので、随分消費者に不利な契約ですね。
なんかありがちな話なんだろうけどムカついた。
Shibuya.pmでしゃべってきました
遅くなったけど資料、と、動画。最近のお仕事について話しました。
http://svn.coderepos.org/share/docs/mala/20081127-shibuyapm10-lt/index.html
http://svn.coderepos.org/share/docs/mala/20081127-shibuyapm10-lt/main.txt
転職とか退職とか何のことだか良く分からない。
いろいろあった
いろいろあったなー。