Flash広告にXSS脆弱性 32
ストーリー by GetSet
影響範囲は大きいか 部門より
影響範囲は大きいか 部門より
zyass曰く、"NetSecurityの伝えるところによると、Flash広告に関して脆弱性が発見された、とのこと。任意のスクリプトをインジェクションできる問題があったとのことで、これを悪用することでクロスサイトスクリプティング(XSS)などの攻撃を行うことが可能となっていた。
すべてのFlashプレイヤー、及びすべてのclickTAGを用いたFlash広告を利用しているサイトに影響があるとされている。利用者側でもっとも簡単に対処する方法は「JavaScriptをOFFにしておく」ことだろう。"
Update: 04/15 08:40 GMT by O: CSSだとCascading Style Sheetと紛らわしいので、XSSに修正した。今後もなるべくクロスサイトスクリプティングはXSSに表記を統一したいので、タレコミ等の際にはよろしく。
Flashプレーヤーの新バージョンはナシ (スコア:2, すばらしい洞察)
でもユーザーが安心して使うためには、Flashプレーヤー自身に対策を施してくれる方がありがたいのに。「CGIと違ってFlashはXSS脆弱性が起きにくいですよ」「こんなにセキュリティーに気を遣っていますよ」とアピールする材料になると思うけれど。がっかり。
Re:Flashプレーヤーの新バージョンはナシ (スコア:1, 興味深い)
>>施してくれる方がありがたいのに。「CGIと違ってFlashはXSS脆弱性が
>>起きにくいですよ」「こんなにセキュリティーに気を遣っていますよ」
>>とアピールする材料になると思うけれど。がっかり。
御説ごもっとも。
しかし、かといってガチガチに固めてしまうと機能が限定されてしまい、
用途の範囲が狭まってしまって台無しになることもあります。
Javaなんてのはその典型で、通信がダウンロードしたサーバとしか通信できない
というような制限を設けたために、ブラウザ上で動く通信ソフトの機能が
限定されてしまいました。
よく知らないですが、ドコモの505のiアプリDXはその制限が外されるとか。
セキュリティを理由に制限した機能を、機能優先で制限解除したということでしょうか。
余談ですが、iアプリDXはダウンロードしたサーバ以外との通信も可能で、
さらに電話帳や着信履歴にもアクセス可能だそうですが、その内容をどこかの
サーバに送信して集計するというアプリも作れちゃうのでしょうかね。
Re:Flashプレーヤーの新バージョンはナシ (スコア:1)
iアプリDXに関しては詳しくないのですが、au の、保護がゆるめのネイティブコード版 ezplus である BREW は個人配布出来ないようです。
KDDI がセキュリティチェックを行った後公式サイトからのみ DL 出来るようにするからだそうです。
ただ、その辺りのポリシーが明示されない限り KDDI がチェックすると言ってもあまり信頼出来ない気がするし(Spywareとか)、何より個人レベルで遊べるものではないので私が BREW 対応機種に乗り換える事はなさそうな感じです。
今のところ BREW 対応機種は ezplus 使えませんしね。
拡張もいいけど (スコア:1, すばらしい洞察)
# いつも同じこと言ってますが、繰り返し言う必要があると思うので
### ID持ってないのでAC ###
Re:Flashプレーヤーの新バージョンはナシ (スコア:0)
Re:Flashプレーヤーの新バージョンはナシ (スコア:0)
>さらに電話帳や着信履歴にもアクセス可能だそうですが、その内容をどこかの
>サーバに送信して集計するというアプリも作れちゃうのでしょうかね。
仕様が公開されたので見てみるといいですが、そんなことはで
選択の自由を (スコア:2, 興味深い)
インストールしてあるプラグインを無条件実行だとアンインストール以外に避けようがないですからね。
Re:選択の自由を (スコア:1)
ちなみに,Mozilla の about:plugins [about] ではプラグインの MIME タイプごとに Enabled の欄が設定されているので,どこかでプラグインを使用するか否かを設定できるのかも…
Re:選択の自由を (スコア:1)
IE:macは任意のMIMEタイプをブラウザ内部/プラグイン/外部アプリ/ファイル保存のどれで処理するのかを環境設定で指定できます。これは他のWWWブラウザーも真似をして欲しい機能ですね。
鬼のように影響範囲広いのですが、、 (スコア:2, 興味深い)
一方Flashは携帯に乗り出そうとしていますしMacromediaは仕様と言い張る、、かなり危険な気がします。
業者が管理しているからXSSの不正利用のようなマネは起こりえない、、なんて思えません。それは英語圏のgatorで懲りました。ごく普通の個人ページに配信される広告でActiveXを利用した悪質きわまりない所作、裁判で判決が下ってやっと大人しくなりましたが、、
Re:鬼のように影響範囲広いのですが、、 (スコア:0)
使っていないサイトを探すのが難しいくらいですね。
GIFアニメーションより表現力もあって、しかも同程度の内容であれば
ファイルサイズが小さいという利点があるんですよね。
インタラクティブな広告も作れますし。
なお、いくつかのサイトを見てみましたが、clickTAG使ってますね。
Re:鬼のように影響範囲広いのですが、、 (スコア:0)
職務上見なきゃいけないとこのトップにFlashのみ使われてると、
仕方なく他のブラウザ立ち上げてますけど。
最近テキストブラウザに配慮されたページが減って来てる気がしないでもない…
企業のサイトもデザイン優先って感じでデザイナーに丸投げとかしてるのかなぁ?
Flash広告って? (スコア:1)
普通に Flash を使った方法かと思ったのですが,そうだとしたら
XSS 脆弱性が存在するのが広告だけというのは腑に落ちません.
同じ技術を使って広告以外の swf を作ることもできますよね.
あるいは,「Flash広告」または「Flash AD」というものが
あるのでしょうか? AD ってのは MX や XP や 200x などと
同じで,特に意味はないとか…
Re:Flash広告って? (スコア:1, 参考になる)
#“Flash広告”と、半端に訳す意図はわかりませんけど。
>普通に Flash を使った方法かと思ったのですが,そうだとしたら
>XSS 脆弱性が存在するのが広告だけというのは腑に落ちません.
リンク先にもあるように、Scan Daily EXpressなどは広い範囲に影響があってセキュリティリスクが高いとしているわけですが、マクロメディアがセキュリティリスク低などと判断しているわけです。
なーんだ(余計なもの) (スコア:0)
結局、フレッシュを信用するなって対応しかない (スコア:1)
だけど最近、メニューをフレッシュで作る所が増えてきている。
仕方なく許可しているが、大抵アクティブスプリクトも許可しなければ動かない。
画像などをアップさせて広告表示している場合と同じようにフラッシュをアップロードさせ、他のフラッシュと区別なく表示している場合、恐くてメニューも動かせないね。
デザイナーとかのサイトでは人気があるフラッシュも、危険なので開かない方が良いのだろう。
スプリクト動かさなければ安全なのかもしれないが、安全だと思い込むとろくな目に合わない気がする。
Re:結局、フレッシュを信用するなって対応しかない (スコア:0)
Re:結局、フレッシュを信用するなって対応しかない (スコア:1)
Re:Flash広告って? (スコア:0)
特に深い意味はないっす。
Flash・広告・脆弱性 (スコア:1)
これとはまた別、というか逆のパターンですね…。
新聞社 (スコア:1)
http://adi.mainichi.co.jp/ad/image/FLASH/sony030411co.swf?clicktag=javascript%3Aalert%28%22Hello%22%29
朝日新聞では「アサヒ・コム:FLASH 広告素材作成についてのお願い」に注意事項が載ってますね。
http://www.asahi.com/advertising/info/flash.html
いつ掲載したんでしょうか?以前から知っていたとか?
Re:新聞社 (スコア:0)
のマクロメディアのところで、ずいぶんと昔から、
XSS脆弱性がのっていましたが、これは今回の脆弱性と本質的に同じでしょうか?
それとも別原因でしょうか?
CSS vs XSS (スコア:0)
個人的にはXSSのほうがいいと思うんだけど。
Re:CSS vs XSS (スコア:3, 参考になる)
# /.Jで「XSS」になったいきさつは『Apache+mod_perlのCSS予防法』記事 [srad.jp]の『CSSという略語』スレッド [srad.jp]を参照
Re:CSS vs XSS (スコア:1)
ちょっとクエリを変えてあります(改悪かも…)。
Google検索クエリ
ちなみに
単純に
あれから1年強ですが、XSSが浸透してきていますね。
まぁ、Cross Site ScriptingをCSSと略すのは間違いではないですが…
流れですかね。
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:CSS vs XSS (スコア:1)
Cascading Style Sheets の方かと思ったよ。
Re:CSS vs XSS (スコア:0)
#リンク先のページがCSSにしているのだから、それはそれでいいと思うのだが。
Re:CSS vs XSS (スコア:1)
私のだとセキュリティセクションちゅうBOX ではまだCSS です。
Re:編集者って何のために? (スコア:0)
Oliver氏の普段通りの書き方ではないかと。
Re:編集者って何のために? (スコア:0)
そんな事でイライラしてたら、ハゲますよ?
Re:編集者って何のために? (スコア:0)