パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozillaに任意ドメインのCookieが漏曳するセキュリティホール」記事へのコメント

  • Netscape6.2.3には影響しないっていうのが救いやろうな。
    #むしろ脆弱性の存在は分かってて伏せたまま6.2.3で修正したのかな。

    #未だに1.0rc3を使ってる俺って一体(Windowsのみ、だけど)
    --
    gy0
    • by ryoryoryo (5621) on 2002年07月27日 16時20分 (#134047) ホームページ 日記
      Mozilla 0.9.4.1 ベースであることからもリリース時期からも Netscape 6.2.3 に影響しないというのは考えにくいため、Windows 版の Netscape 6.2.3 でテストしてみたところ、影響しました。
      こちら [srad.jp]でも書きましたが影響があるというアナウンスがないから即安全と判断するのは危険だと思います。

      なお、ものはついでなので K-Meleon [sourceforge.net] 0.6 、GLU [zawameki.net] 0.16 (with Mozilla 1.0) 、和ジラ [osdn.jp] 1.0c/Win でもテストし、いずれも再現することを確認しております。
      親コメント
      • Windows 版の Netscape 6.2.3 でテストしてみたところ、影響しました。
        そうでしたか。ガセネタ撒いてすみませんでした。
        --
        gy0
        親コメント
      • WINのMozilla6.2.3使ってるのですが、
        上の対処法のメニューが無い!どうすれば…
        • WINのMozilla6.2.3使ってるのですが、
          上の対処法のメニューが無い!どうすれば…
           (Mozilla ではなく Netscape だと思いますが) いま試してみましたが、ほんとですね。おそらく Netscape (というか AOL Time Warner) 自身が JavaScript を利用したポップアップ広告を使用していることもあって、ポップアップ広告を抑制するためにも使われる JavaScript の動作制御関係を殺してしまっているんでしょう。

           機能ごと殺されているようで prefs.js に直接 dom.disable_cookie_get を指定しても効果がないため、可能な対応としては
          • 編集メニューから設定→詳細で「Navigator で JavaScript を有効にする」のチェックを外し、すべての JavaScript を止めてしまう
          • prefs.js を編集し、こちら [mozilla.gr.jp]で無津呂さんが紹介されている手順でサイト単位に JavaScript の実行許可を設定する
          といったものしかないかと思われます。
           前者はすべての JavaScript が止まるため安全といえば安全ですが、有益な JavaScript も動かなくなるため必要に応じて JavaScript を実行可能に設定し、必要がなくなったら再び実行不可能に設定し直す必要があります。
           後者は JavaScript の実行を許可したいサイトだけを許可サイトとして登録しておくことでそれ以外のサイトで JavaScript を実行することを抑制しつつ必要なサイトで JavaScript を実行させることが可能になりますが、prefs.js を書き換えなければいけないこと、書き換えるたびに Netscape 6 の再起動が必要 (ですよね?) なこと、サイト単位での許可/禁止なのであるサイトを許可すると同一サイトで危険なスクリプトがあった場合無防備になってしまうことが問題となるのではないでしょうか。
          親コメント

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...