2005年11月18日

IEとOperaでステータスバーを偽装

IEやOperaで、ステータスバーに表示される画像のリンク先アドレスが偽装されるという脆弱性が発見されました。ポイントは、Script(プログラム)等による偽装ではないため、JavaScriptをオフにしてるから偽装に対して安全と思うと失敗する点です。

 IEやOperaにステータス・バーを偽装できる問題 (IT Pro)

ネットでリンクが書いてある場合、安全そうかどうか、リンクにカーソルをあわせてステータスバーに出てくるリンク先アドレスを確認します。大体の人は何気なくされていると思います。勿論、ゼロやオーのように微妙に違う等があるので判断しづらく、一つの判断基準でしかありませんけど。

JavaScriptによりステータスバーにメッセージを表示するというのはメジャーな表示技法です。これは普通に使われる事で、これ自体は問題はありません。ただ、メッセージを表示するという事は、URLを表示出来るという事で、リンク先のアドレスをこのJavaScriptによるメッセージ表示で偽装出来るという問題がありました。これは結構メジャーな詐欺の手口なので、JavaScriptをオフにして確認するという人も多いんじゃないでしょうか?

私もそのようにすれば大丈夫と思ったのですが、今回のは問題はFormタグと画像を使う事により、JavaScript等がオフでもリンク先アドレスを偽装出来るという事です。最近はスタイルよくするために、ボタンなどは画像が多いですよね。JavaScriptは消しても画像が消しづらいという背景があります。そのため、今回はスッカリ騙される可能性があります。

ちなみに、Formタグとは入力フォームを指定する記号です。このForm開始タグとForm終了タグの間にあるテキスト欄等にある入力した内容をサーバに送信します。


対処方法は、現在の所は無いようです。直接の被害はないため対応は鈍いかも知れません。ただ、詐欺のサイトに飛ばされる可能性はありますし、飛んだ先にウイルスが仕込まれている可能性だってありますので注意は必要ですよね。自衛策として、ショッピングサイトや銀行サイトなどには直接お気に入りなどから移動する、リンク先の右クリックからショートカットのコピーなどで、URLをコピーしてアドレスバーに貼り付けて、内容を確認してから移動するなどです。


ちなみに、私は普段はSleipnirで見ており、ちょっと怪しげなリンクはリンクをコピーしてOperaで確認しています。Operaは危険サイトチェックブラウザになっています(*ノノ)
いえ、Operaがスゴイからそう使っているんですよ! 起動が早い、メモリ少ない、ActiveXに対応してないのでスパイウェアなどにも強い、セキュリティも比較的いいと、言う事無しです。それで、画像、JavaScript、Flash、Cokie、リファラー(リンク元を通知)等、全てをオフにして使っています。そこまですると、悪質なサイトに対してもだいぶ強いので、これで確認するんですね。安全そうならSleipnirで見に行く、と(笑)

それにしても、こういう注意をちょこちょこと書いていますが、新しい手口をみる度に、ある意味、感心させられます。
この記事へのコメント
こんばんは
コメント有難うございます。

「デスクトップ検索は、MSNとGoogle、一長一短」というところ共感しました。

私は、IEにタブが付いたことで喜んで
しまいました。
多少強引なので使いにくいですが、重宝
してます(笑)

あと記事も読みました
かなり詳しく書いてありますね!

私も見習わないといけません・・・(汗)

また、よりますね!
Posted by SEが薦める役に立つ フリーソフト & ソフト at 2005年11月19日 10:16
SEが薦める役に立つ フリーソフト & ソフトさん、こんばんわ〜♪
思った以上に、デスクトップ検索機能に差がありますよね!
Yahoo!のは日本語不可なので、試してすぐに消しちゃいました。。。

お互い、ソフトの紹介等々、がんばりましょ♪
Posted by 藍旋 at 2005年11月20日 01:14
チャンルー ブレス 作り方
Posted by インナー at 2013年07月31日 19:27
トリーバーチ 人気
Posted by 時計 スイス at 2013年08月03日 18:18
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※半角英数字のみのコメントは投稿できません。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。