http://rubikitch.com/に移転しました このページをアンテナに追加 RSSフィード

2008-11-06

[]クリックジャックはw3mなら平気じゃん?

クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告 - ZDNet Japan

最近クリックジャックとかいうめちゃくちゃやばい脆弱性がでてるらしい。なんでもiframeで全画面に悪意のあるサイトを透明で表示させてraiseさせ、クリックをのっとるものだとか。だからJavaScriptを切ってても無意味。透明化はCSSでやるのかな。たとえてみれば透明人間刃物で攻撃されるようなものだ。おーこわ。

安全策はlynxを使えばよいと書いてるけど、JavaScriptCSS未対応だからw3mでもOKだろう。dilloもokじゃねえか?

Firefoxではとりあえず色とフォントを一定にしてみた。さらに、「Allow pages to choose their own (colors|fonts), instead of myselection above」をoffに。まあFirefox動画を見ることにしか使ってないからほとんど大丈夫だとは思うけど…。いつもw3mなんで。あと、about:configで「editor.use_css = false」にしてみた。これがCSSを無効にする設定なのかな。

だれかが「最近のブラウザは高機能になりすぎて『ページを開く』ということは『リモートのプログラムを実行する』ことと等価になりそうで怖い」と書いていた。まったくだ。利便性とひきかえに新たなセキュリティの脅威が出てくるよね。JavaScriptを切るとなおよいが、それだとテキストブラウザとかわらない。結局w3m/lynx万歳ってことよね。

Ajaxとかはそのうち廃れるかもしれないね。安全性とアクセシビリティがこれから重要になってくるだろう。w3mで動作しないサイトなんて糞だよ。ニュース記事を読むためだけにJavaScript使いやがるニュースサイトは最低最悪だ。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/rubikitch/20081106/1225915858