パスワードを忘れた? アカウント作成
228932 story
セキュリティ

楽天ad4Uで悪用されたCSSの仕様性、AppleがSafari 5.0で修正 38

ストーリー by hylom
改善の方向へ 部門より

あるAnonymous Coward 曰く、

一昨日10月のストーリー「楽天・ドリコムの行動ターゲッティング広告、HTML/CSS仕様の不備を突いて訪問先サイトを調査」で話題になったCSSの仕様について、今月11日にリリースされたSafari 5.0で変更された。

Appleのリリース「Safari 5.0 および Safari 4.1 のセキュリティコンテンツについて」が次のように述べている。

対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降

影響:悪意を持って作成された Web サイトにアクセスすると、ユーザがアクセスしたサイトを特定できる可能性がある。

説明:WebKit による CSS で訪問済みの疑似クラスの処理に、デザインの問題が存在します。悪意を持って作成された Web サイトにアクセスすると、ユーザがアクセスしたサイトを特定できる可能性があります。このアップデートでは、訪問したリンクかどうかを基にしたスタイルページへの Web ページ機能を制限します。

同様の修正はFirefox 4でも予定されている(Firefox 4 for developers — Mozilla Developer Center2010年4月6日のストーリー)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 影響 (スコア:3, 興味深い)

    by com2 (35285) on 2010年06月14日 19時24分 (#1779825)

    影響:悪意を持って作成された Web サイトにアクセスすると、ユーザがアクセスしたサイトを特定できる可能性がある。

    そうか、ad4Uは悪意という認識で良かったのか。

    • Re:影響 (スコア:1, 興味深い)

      by Anonymous Coward on 2010年06月14日 20時29分 (#1779867)

      影響:悪意を持って作成された Web サイトにアクセスすると、ユーザがアクセスしたサイトを特定できる可能性がある。

      そうか、ad4Uは悪意という認識で良かったのか。

      利用者が意図しない所で、
      「自分が今訪れているサイトとは関係がない」サイトへの訪問の有無をチェックされるんですよね?
      私なら悪意だと判断します。
      スパムよりはウィルスにちょっと近い程度の悪意を感じます。

      親コメント
      • Re:影響 (スコア:1, 興味深い)

        by Anonymous Coward on 2010年06月14日 20時35分 (#1779870)
        でも、DPIを広告に使われるよりはまだオープンな場で、こちらでも対処できるやり方だからましだよ。
        楽天系・ドリコム系は利用しない、Javascriptはデフォルトオフ、にしておくのが最善。
        親コメント
    • by Anonymous Coward
      4Uとか言ってるけど、「お前の為」なんていうのはたいてい言ってる側の為であって、俺の為なんかじゃない

      なーんて、厨二っぽい事言ってみるテスト
      • Re:なにが4Uだ (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2010年06月16日 10時43分 (#1780749)
        楽天「このリンク先、見たことあったっけ?」
        you 「うん」
        楽天「じゃあ、関係ありそうな広告を見せてあげる」
        you 「え!?」
        楽天「あなたのためだから」
        you 「は?」
        楽天「あなたのためだから」
        親コメント
      • by Anonymous Coward
        >4Uとか言ってるけど、「お前の為」なんていうのはたいてい言ってる側の為であって、俺の為なんかじゃない

        IIJ4Uの知名度も落ちたもんだな。時代を感じる。
        • by Anonymous Coward

          「たいてい」って書いてあるけど。

      • by Anonymous Coward

        Uはyouじゃなくて∪なんですよ、本当は。
        つまり「アドフォーカップ」なわけでして、
        「お前のものは俺のもの、俺のものも俺のもの。全部よこせ!」を実現するための広告なんです。

      • ユニット4つ入れて何が悪いんだっ!!!!!!!!1111!!!!!!!
    • by Anonymous Coward
      ウイルスを配信するサイトなんかと一緒にブロックしてしまえばいいのに、と思っています。
  • by Anonymous Coward on 2010年06月14日 22時44分 (#1779950)
    http://standards.mitsue.co.jp/archives/001464.html [mitsue.co.jp]

    このDOMの挙動については、Internet Explorer 8のIE8標準モードでも同様の処理がすでに行われています(プロパティの制限はありません)。

    とあるのですが、たしかに楽天カスタムad4U/メニューリリースのご案内/10年4~6月 « 最新メディアリリース情報 [mediaradar.jp]にも

    【変更】 10年4月14日

    Microsoft社がリリースしましたInternetExplorer8のUpdateを、Windows XP の環境で実行することにより、配信スクリプトとの間で一部動作上の不具合が 発生しており、万全を期するため一旦対応ブラウザを変更させていただきます。

    【変更内容】
    Internet Explorer8上における広告配信をFlash配信からGifのみ配信に変更いたします。 楽天ad4Uに関してはInternet Explorer8への配信自体を対象外とさせて頂きます。

    とありますね。

    • by Anonymous Coward
      IE8とFirefoxのユーザーに配信されないってすでに広告として破綻してる気がするんだけどまだやめる気ないのかね。
  • by Anonymous Coward on 2010年06月14日 17時36分 (#1779748)

    って何?

    脆弱性とは言えない仕様上の欠陥、みたいな意味かな... 確かにそういう現象を実装上の脆弱性から区別したい気持ちはわからんでもないが。

    • Re:仕様性 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2010年06月14日 18時23分 (#1779781)
      デザインの問題って書くから変で、設計上の問題とか仕様上の問題って和訳すればいいのにって思った
      親コメント
    • by Anonymous Coward

      もしかして: 使用性 [google.co.jp]

      ググっても辞書ひいても意味がわからない単語ですねぇ

    • by Anonymous Coward

      客 「これバグじゃないんですか?
      サポート 「仕様です(キッパリ

      • by Anonymous Coward

        客 「これバグじゃないんですか?

        開発者A「これってバグなんじゃねぇの?」
        開発者A「いや、このバグは仕様性が高いから仕様だろ」
        開発者A「あ、俺いまバグって言っちゃったよね、ね。バグだよね。」

        サポート 「仕様です(キッパリ

    • by Anonymous Coward

      脆弱性から「性」だけを残したら、欠陥みたいな意味は全く失われる。
      仕様的な性質、みたいな?

      • by bitterbeer_sweetwine (37563) on 2010年06月15日 0時28分 (#1779997)

        どうかな?
        脆弱であるってことは、ある局面では欠陥だからね。

        脆弱であることと、同等に仕様という言葉を考えているのかもしれない。

        つまり、どなかたの頭には、仕様にはアプリオリに問題があるとのだ..ということではなかろうか?
        たぶん、ご自分の作られた仕様がそうであったがためにそう思うにいたったのであろう...
        ということは簡単に推論されるけどね。

        しかし、どうしてこうも角が取れていない上に一意性に欠ける文章が書けるのか、不思議だ。

        あと、Appleらしい悪文だよね。
        「悪意を持って作成された Web サイトにアクセスすると、ユーザがアクセスしたサイトを特定できる可能性があります。
        このアップデートでは、訪問したリンクかどうかを基にしたスタイルページへの Web ページ機能を制限します」

        >悪意を持って作成された Web サイト
        善意でやったら出来ないの?

        >定できる可能性があります
        誰が特定できるの?

        >スタイルページへの Web ページ機能
        なんのことだ?

        まぁ、知っていたらわかるけど、素人に示す説明じゃないよな。
        ここらへんは、MSの方がずっとマシなんだよね。

        親コメント
    • by Anonymous Coward

      ただのtyopではないかと思ったんだが、どうなん。。。

      しかし、コレを商売にしてる人はどう対応すんだろね。
      FireFoxとかも追従するだろうしなぁ。

      • by Anonymous Coward

        > ただのtyopではないかと思ったんだが、どうなん。。。

        アレたまでは「脆弱性」になっているから、いつものhylom的編集メソッドかと。
        (tyopではなく)typoで「脆弱性(ぜいじゃくせい)」→「仕様性(しようせい)」に変換されるとは考えにくいので、
        意図的な編集行為だと思われますが、何を意図した編集なのかはいつものとおり想像つきません。

        • by MarriageTheorem (40239) on 2010年06月15日 18時31分 (#1780484)

          いつものhylom的編集メソッドかと。

          まったく、しようがないなあ。

          #言ったもん勝ち?
          ##いや、むしろ負k(ry

          親コメント
        • by Anonymous Coward
          本物の編集者はIMEを使わないらしいですからね
        • by Anonymous Coward

          脆弱性を仕様の不備に直そうとしてタイトルの方で失敗したようですね
          「バグ」って言葉は開発者が認めない限りバグじゃないから使うべきではない、みたいな考え方の人なんでしょう

          • by Anonymous Coward
            でもこれはバグじゃなくて仕様の不備にしか見えない件
          • by Anonymous Coward

            修正しないってことは、ミスじゃないんでしょう。
            変な造語を生み出さないで欲しいんだけど・・・。

        • by Anonymous Coward

          物書きを名乗るのはやめて欲しいよ。
          いつもホント恥ずかしい。

    • by Anonymous Coward

      specified behavior → 仕様通りの挙動?
      超訳。

    • by Anonymous Coward
      一昨年の間違い?
  • by Anonymous Coward on 2010年06月14日 18時21分 (#1779780)
    邪悪すぎるw
  • by Anonymous Coward on 2010年06月14日 18時42分 (#1779798)
    例えば、JSでaのプロパティ(特にvisitedのカラー)を読めなくなったとか、そもそもvisitedの無くしたとか、どういう対策がとられたのだろうか?
    つか、それって、CSSの仕様(たとえばCSS 3.0の仕様に)含まれることになるのかとか、いろいろと気になるよね。
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...