« POP辞書関連ブックマークレット | Main | Firefoxのシェア »

HTMLファイルがlocal contextで解釈される危険性

Mozilla-gumi Forum [One Message View / [FYI]うかつに「open, save, cancel」のダイアログでOpenしないこと]より。

セキュリティホール memo
 Mozilla Firefox 1.0 / Mozilla 1.7.x / Opera 7.51〜7.54 に欠陥。 HTML ファイルを Content-Type: text/html. (ドットつき) で受けると、 これらのブラウザでは「open, save, cancel」のダイアログが開く。ここで open を選択してしまうと、HTML ファイルを local context で解釈してしまう。 これにより、HTML ファイルに含まれる JavaScript が local context で実行されてしまい、ローカルファイルを盗み読むなどの攻撃が可能となる。

 これって、安易にローカルに保存したHTMLを開くことに対する警告でもあるんですよね。
以前に取り上げたScrapBookもそういう意味では危険です。 これは、なんかも同様だったと思いますが。スクリプトを完全に殺してくれないことには気軽に使うわけにはいかないですね。

|

« POP辞書関連ブックマークレット | Main | Firefoxのシェア »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/15602/2362443

Listed below are links to weblogs that reference HTMLファイルがlocal contextで解釈される危険性:

« POP辞書関連ブックマークレット | Main | Firefoxのシェア »