administrator権限なしのユーザが何かをクリックしたことにより、
JavaScriptによってアドレスバーが偽装されてしまうことがあるのでしょうか?
フィッシングサイトではHOSTSを書き換えてしまう方法もあるようですが
HOSTSファイルはadministrator権限がないと書き換えられないため
常に一般ユーザ権限(Users)でログオンしていれば
HOSTSファイルが書き換えられてしまうようなことがないと思っています。
JavaScriptも同様でしょうか?
http://www.itmedia.co.jp/enterprise/articles/0411/11/news005.html
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041118/152787/
何卒よろしくお願い致します。
二つ目の記事の方では手法が特定されていませんが、一つ目の記事で紹介されている手法は実行ユーザーのアクセス権は関係しません。
これは実際にアドレス情報を誤認させているのではなく、アドレスバーを「アドレスバーの画像」で隠しているだけだからです。(ブラウザーはじぶんが接続しているサイトを正しく認識しています。)
記事にあるとおり、ブラウザの実装(ブラウザの画面外に画像を配置できてしまう)の問題です。
一番根本的な対策としてはJavascriptの実行自体を禁止してしまうことになります。(最近はほぼ不可能になりつつありますが。)
但し、このタイプの手口は最近あまり話題になっていません。記事にある例のように、失敗する可能性が高いからではないかと思われます。
なお、本件とは直接関係ありませんが、「DNSキャッシュ・ポイズニング」などの手法でURLとIPアドレスの対応関係を不正に変更された場合、ローカルのコンピューターでは攻撃を阻止することが出来ません。(DNSキャッシュ・ポイズニングかファーミングPharmingで情報を当たって下さい。)
こちらの方が危険度が高い攻撃なので、攻撃手法は既にシフトしているのではないかと思います。
JavaScriptによってアドレスバーが偽装されてしまうことがあるのでしょうか?
これは単にJavascriptでアドレスバーの上に偽装した画像などをjavascriptで座標を指定し乗せているだけに過ぎません。
変だなと思えばブラウザを小さくしてみれば直ぐにわかります。(と言いますかこんな低レベルなフィッシングサイトはもう無いと思うのですが。)
JavaScriptも同様でしょうか?
javascriptはexeなどの実行ファイルではありません。あくまでもブラウザで動くクライアントサイドのスクリプトです。
もちろんJavascriptを使用し何らかのフィルを開かせるサイトもあります。
javascriptはユーザー毎の指定はありません。
ブラウザ毎の指定になります。
もしセキュリティ上の理由からjavascriptを使わせたくないのであれば無効設定にしてみてはどうでしょうか。
ただ現在多くのサイトでjavascriptは使用され、無効にすることにより使用も制限になりますので、ご注意を。
http://www.google.co.jp/search?q=javascript+%E7%84%A1%E5%8A%B9&l...
二つ目の記事の方では手法が特定されていませんが、一つ目の記事で紹介されている手法は実行ユーザーのアクセス権は関係しません。
これは実際にアドレス情報を誤認させているのではなく、アドレスバーを「アドレスバーの画像」で隠しているだけだからです。(ブラウザーはじぶんが接続しているサイトを正しく認識しています。)
記事にあるとおり、ブラウザの実装(ブラウザの画面外に画像を配置できてしまう)の問題です。
一番根本的な対策としてはJavascriptの実行自体を禁止してしまうことになります。(最近はほぼ不可能になりつつありますが。)
但し、このタイプの手口は最近あまり話題になっていません。記事にある例のように、失敗する可能性が高いからではないかと思われます。
なお、本件とは直接関係ありませんが、「DNSキャッシュ・ポイズニング」などの手法でURLとIPアドレスの対応関係を不正に変更された場合、ローカルのコンピューターでは攻撃を阻止することが出来ません。(DNSキャッシュ・ポイズニングかファーミングPharmingで情報を当たって下さい。)
こちらの方が危険度が高い攻撃なので、攻撃手法は既にシフトしているのではないかと思います。
コメント(1件)