IEの脆弱性だって

わたしは根っからのIEユーザーだったんだけど、こんな記事を読んで使い続けることが恐くなりました。
http://d.hatena.ne.jp/hoshikuzu/20060428#P20060428MHTMLREDIRECT

IEを使ってサイトを閲覧してると

このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも…

らしいです。

ちなみにCSSXSSというのは

CSSXSS 【CSS Cross Site Scripting】
読み方 : シーエスエスエックスエスエス

 Internet Explorerのスタイルシート(CSS)の呼び出し機能に潜む脆弱性をつく攻撃手法。攻撃者は不正なCSSインポートを含んだWebページを閲覧させることにより、被害者のコンピュータから不正に情報を入手することができる。

 CSSでは別ドメインに置かれた外部スタイルシートファイルを「@import」宣言などを使って読み込む(インポートする)ことができるが、Internet Explorerでは外部ファイルの種類を自動判別するため、ファイル名のわかる“{”が入ったテキストファイルを自由に抜き出せてしまう。インポート方法は@import、addimport、link要素、xml-stylesheetなどが知られ、インポートされるファイルがShift-JISで記述されている場合は、文字コード的に“{”と類似するカタカナの「ボ」や「マ」などが入っていても抜き出されてしまう。

 CSSXSSは、Google Desktopの検索結果をユーザに知られずに外部から読み取ることができる方法が紹介されて有名になった。スタイルシートに関する脆弱性のため、JavaScriptをオフにしても影響を受ける。被害者側のWebサイトを改変するわけではなく、単にスタイルシートと間違えられた別の情報を盗んでくるので、厳密に言えばCSSXSSはクロスサイトスクリプティングには当たらないとする見方もある。

他にも知らない言葉いっぱいで文章の半分くらいしか理解できなかったんだけど、とにかく危険ってことが伝わりました。ぼくはまちちゃん!ってサイトに行くとその恐さが伝わります。でも危険だから行かないでとどこのサイトにも書いてあったのでお奨めしません。とりあえず、わたしはSleipnirを使ってるのでブラウザエンジンを即効切り替えました・・・。

恐いねぇー。だからインターネットは恐いんだ。

Trackback URI: http://blog.ochanocosaisai.com/wp-trackback.php?p=77

気軽に記事を評価してみて下さい。
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading ... Loading ...

コメントする

RSS feed for comments on this post · TrackBack URI · add to hatena hatena.comment 0 user add to del.icio.us 0 user add to livedoor.clip 0 user