2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

クリップボードを盗む

1 :名無しさん@お腹いっぱい。:01/11/08 11:10
http://slashdot.jp/article.pl?sid=01/11/06/1619230
http://java-house.etl.go.jp/~takagi/security/misc/jscript-clipboard/test.html

IEのJAVASCRIPTはクリップボード読み取りの独自拡張がほどこされている
らしいですが、初めて知りました。これってかなり問題と思うのですが、
いかがでしょう?もしやずいぶんと前にガイシュツ?

2 :名無しさん@お腹いっぱい。:01/11/08 11:55
初めて知ったよ。情報ありがと。
早速「スクリプトによる貼り付け処理の許可」を
「ダイアログを表示する」に設定したよ。

3 :名無しさん@お腹いっぱい。 :01/11/08 12:38
ここの「Windows Security」の実験コーナーの一番下が同じようなことを
やってるみたいだよ。適当にコピーしてGOだ

http://tarikihongandou.shadowpenguin.org/

4 :1:01/11/08 12:55
>3
わ、すげー、本当だ。
教えてくれてありがとうございます。
イントラネットの設定も変更することにします。

5 :名無しさん@お腹いっぱい。:01/11/12 08:06
>>1
99年3月にガイシュツ
http://www.st.ryukoku.ac.jp/~kjm/security/memo/1999/03.html#19990325_paste

6 :名無しさん@お腹いっぱい。:01/11/12 12:50
つーか、根本的にネスケに乗り換えたら?

7 : :01/11/12 20:26
>>6
そんな不安定なブラウザ使い物にならんよ。

8 :名無しさん@お腹いっぱい。 :01/11/13 00:35
「Win はウイルスが多いから MAC にしとけ」っていうのとおなじレベルだね!
思考停止のマッカーとネスケ厨は同程度なんだね!

9 :名無しさん@お腹いっぱい。:01/11/13 00:39
セキュリティに大穴があいているieよりバグで落ちるネスケの方がはるかにまし。

10 :名無しさん@お腹いっぱい。:01/11/13 00:42
>>8
Galeonに汁。(´∀` )

11 :名無しさん@お腹いっぱい。:01/11/13 00:55
>>9
パッチ当てれ
以前はひどかったが、最近のMSはそこそこ頑張ってる。

12 :名無しさん@お腹いっぱい。:01/11/13 01:01
>>11
未だに週に一度は深刻なセキュリティホールが発見されているIEなど
パッチを当てても不安で使えんよ。

13 :名無しさん@お腹いっぱい。:01/11/13 01:10
マイクロソフトもアプリのセキュリティに力を入れてほしいね。
.NETもそれまではどんなにすごくてもこわくて初めは使えん。

14 :名無しさん@お腹いっぱい。:01/11/13 01:29
>>9
ネスケは環境によってはフリーズしまくりだから、、
やっぱ恐くて使えん。

15 :名無しさん@お腹いっぱい。:01/11/13 09:16
http://pc.2ch.net/test/read.cgi/sec/1005540777/

IEにまた深刻なセキュリティホールが発見されましたね。
安全と安定のどちらを取るかと聞かれたら私は安全と答えます。

16 :名無しさん@お腹いっぱい。:01/11/13 09:41
ネットスケープが自社製品のセキュリティホールについての
情報を開示しているページってどこにありますか?

17 :名無しさん@お腹いっぱい。:01/11/13 10:34
cookie、あぼ〜んしなきゃ。

18 : :01/11/14 08:38
>>9
バグで落ちる=下手すりゃ任意のコードを実行できる
だぞ。BOF = Exploit とは限らんが可能性は高い。

IE はとりあえず信頼済みサイトを活用してインターネットの安全性を
デフォルトで高くしておけば問題ない。というかIE使いなら常識。
ネスケってBUGTRAQあたりで指摘されているのに公開していない
バグがいっぱいあるのでまったく信用できん。

19 :名無しさん@お腹いっぱい。:01/11/15 13:10
IEユーザ:思いっきり初心者レベルの幼帽か、あるいはそれなりに対処できる者。
ネスケユーザ:小知恵がついただけの厨房か、しったかに騙された愚者か、信者。
オペラユーザ:自力で大抵の問題を解決できる人。人柱。

順にWinユーザ、Macユーザ、PC-UNIXユーザに置きかえられるな・・・

20 : :01/11/15 17:22
>>16
ないです。
ばれたらこっそり直すのがネットスケープの昔からのやり方。
>>18-19
激しく同意。

21 :名無しさん@お腹いっぱい。:01/11/17 03:04
>>18
WindowsでBOFからコード走らせる事って出来るのか?
アセンブラなんて何年もやってないからわからんが、IEと違ってネスケ単体
では他のアプリを起動する機能も持っていないし、外部ルーチンを呼ぶなら
ShellExceの類のエントリを知らなければいけないし、単純なアドレス操作な
らi386系のCPUだと特権レベルの保護に引っかかるっしょ。
HTMLクライアントに対してそれだけのアタックをかけられるとしたら、そいつ
の技術レベルはかなりのものはずだよ。
通常のウィルスやマクロウィルスとかに比べたら発生確率は限りなく小さいと
思うのだけど。

>IE はとりあえず信頼済みサイトを活用してインターネットの安全性を
>デフォルトで高くしておけば問題ない。というかIE使いなら常識。

管理者の立場から言わせて貰えば、これこそがとんでもない嘘。
一般的なユーザーは設定のやり方自体知らないので危険なデフォルト設定
のままで使っちゃうし、セキュリティレベルを高くしてユーザーに渡しても、
今度は設定のやり方を知っているユーザーが、ActiveXやスクリプトを使う為
に勝手に解除して、簡単な地雷に引っかかる。
正直、悪夢だよ。

22 : :01/11/17 04:00
>>21
IEAK使えば?

23 :22:01/11/17 04:10
IEAKでポリシーかけても、IEAK以外でインストールされたらアウトか。
駄レスすまん。

24 :21:01/11/17 05:30
>>22
いや、管理者キットの存在なんか忘れていたから参考になったよ。
ありがとう。
でも、実運用考えるとやっぱきつそうですわ。
余程の強権を持っていないとポリシーの決定だけで大もめになるし、
配布の意外に手間だし、使用者側からみると運用の自由度が大きく
制限される事になるのもね。

25 :21:01/11/17 05:57
>>18
24を書いていて思ったんだけど、危険度から言えば、バッファオー
バーフローを使ってクライアントで特定コード走らせる事よりも、
(Nimdaの時みたいに)信頼したサイトがクラックされる可能性の方
が遥かに高いから、インターネットのセキュリティレベル設定を
「高」にして、信頼済みサイトを活用すれば安全、と言うのは無理
があると思ったのだけど、どんなもんだろう。


あと、純粋に技術的な興味なんだけど、WindowsでBOFでコード
仕込む事って可能なの?
手元に開発環境も資料もないから確認出来なくて申し訳ないんだ
けど、Win32アプリってフラットモデルでコード、データ、スタ
ックが同じアドレスではあるけれども、CSにリミッタがかかって
いて、コード領域への書込とか、データ領域に後から展開された
コードの実行って出来なかったんじゃなかったっけ。

26 : :01/11/17 13:41
ごみ箱右クリックして貼り付けすれば
クリップボード消せるね。

27 :21:01/11/17 16:15
25の後半の件、知り合いのノートPCのコンパイラいじらせても
らってきたけど、MEだと通常のDS経由のアドレッシングでコー
ドの自己書換できた。NTは無いので不明。

眠かったんでCSのサイズのチェックは忘れた。BOFでアタック
かけるにはこっちの方が必須なのに・・・鬱だ・・・

ちなみに、上記の2点が出来たからといっても、BOFから特定
コードを走らす事が出来ると言う訳ではありません。
その先がえらく大変な上に、かなりの偶然も要する仕組みなので。
(それが出来るくらいなら、OSレベルで大変な事になっている)

また、アプリが落ちる事に敏感になるのも不要。
Windowsアプリが落ちるのは、ほぼ100%別の理由(藁)だから。

28 :名無しさん@お腹いっぱい。:01/11/17 16:29
>>27

惜しい。もう一歩だ。Shadow Penguin Security というサイトには Windows の
BOF の原理や動作などが詳しく解説されている。行ってみるといい。

29 :21:01/11/18 21:06
>>28
情報ありがとう。
面白い上に参考になったよ。
確かにローカルのチェックが甘いコード書く奴いるわな。
これであと、ヒープのオーバーフローからアタックする方法が
なかなか楽しい事が出来るのだけど、こちらは流石に無理かな。

時間の関係で、まだ冒頭の方の斜め読みしかしてないから見落と
しているのかもしれないけど、何でシステムレベルでCSのセグメント
サイズでリミッタかけないのかね。
システム的に何か不都合があるのかな?

30 :名無しさん@お腹いっぱい。:01/11/25 01:15
コードセクションがモジュール単位であちこちに散らばってるので
単純にセグメントサイズのリミッタをかけるのは難しいと思われ
NTの本来のセキュリティモデルではコードセクションのページに
のみ実行許可を与えて制御することになってましたがx86には
そんな機能ないので実行し放題状態(藁

31 :http:// 122156006.ppp.seikyou.ne.jp/index.html:01/12/14 06:30
guest guest

32 :名無しさん@お腹いっぱい。:02/02/19 23:30
midmidmid

33 :名無しさん@お腹いっぱい。:02/07/10 05:47
age

34 :j:02/07/10 05:57
http://js-web.cside.com/

35 :名無しさん@お腹いっぱい。:02/07/18 03:47
age

36 :名無しさん@お腹いっぱい。:02/12/22 23:37
>>1
既出です。

37 :名無しさん@お腹いっぱい。:02/12/22 23:50
あげ荒らしウザイ、鯖移転も近いかな。
■■■■■■■■終了■■■■■■■■

38 :v:02/12/22 23:52
http://yahooo.s2.x-beat.com/linkvp/linkvp.html

39 :Sleipnirユーザーは気をつけましょう。:02/12/25 08:48
下はSleipnirのスレから

スクリプトの「タイトルとURLをコピー」とか右クリック拡張のコピーとかを使うために
「スクリプトによる貼り付け処理の許可を有効」にしてる人は、
ダイアログを表示に変えたほうがいいです。

>投稿者 : 作者
>インターネットオプション|セキュリティ|レベルのカスタマイズ|
>スクリプトによる貼り付け処理の許可を有効に。

有効じゃなくて、ダイアログを表示にするほうがいいです。

参考サイト
Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
http://java-house.jp/~takagi/security/misc/jscript-clipboard/test.html

40 :名無しさん@お腹いっぱい。:02/12/29 10:15
あげ

41 :名無しさん@お腹いっぱい。:02/12/30 21:07
age

42 :名無しさん@お腹いっぱい。:02/12/31 07:14
age

43 :名無しさん@お腹いっぱい。:03/01/01 04:21
age

44 :名無しさん@お腹いっぱい。:03/01/09 21:05
あげ

45 :山崎渉:03/01/15 15:43
(^^)

46 :名無しさん@お腹いっぱい。:03/01/16 23:05
age

47 :名無しさん@お腹いっぱい。:03/01/30 23:15
age

48 :名無しさん@お腹いっぱい。:03/02/02 04:30
age

49 :名無しさん@お腹いっぱい。:03/02/14 08:27
これは仕様で仕方ありませんね。

50 :名無しさん@お腹いっぱい。:03/04/06 14:19
コレ何?
誰か教えて。
XP使ってるけど。

51 :名無しさん@お腹いっぱい。:03/04/06 14:53
糞上げ荒らしうぜぇ

52 :山崎渉:03/04/17 12:13
(^^)

53 :山崎渉:03/04/20 06:17
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

54 :山崎渉:03/05/22 02:21
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

55 :名無しさん@お腹いっぱい。:03/06/15 06:25
これ、こっそりHPとかに仕掛けてあったら
俺の趣味嗜好とかがバレそうだな。

56 :名無しさん@お腹いっぱい。:03/06/16 12:44
僕のサーフボードも盗まれました。返してください。

57 :名無しさん@お腹いっぱい。:03/06/17 00:08
独り言書くならsageろ、、、、と書いても無駄だろうなやれやれ

58 :名無しさん@お腹いっぱい。:03/06/24 00:57
age

59 :名無しさん@お腹いっぱい。:03/07/06 05:18
これ無効にすると、ctrl+c等のキー操作が効かない
コンテキストメニューからならいけるんだけど

60 :名無しさん@お腹いっぱい。:03/07/06 16:44
騙された一人です
サイトをクリックしたら見事クリップの内容を
晒し上げれてしまいました・゜・(ノД`)・゜・。

61 :名無しさん@お腹いっぱい。:03/07/11 00:46
age

62 :名無しさん@お腹いっぱい。:03/07/11 11:16
age


63 :名無しさん@お腹いっぱい。:03/07/11 11:18
>>62
・∀・)つ −=≡I トットケ

64 :_:03/07/11 11:24
http://homepage.mac.com/hiroyuki44/jaz09.html

65 :山崎 渉:03/07/15 11:07

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

66 :ぼるじょあ ◆yBEncckFOU :03/08/02 05:29
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ

67 :名無しさん@お腹いっぱい。:03/08/05 03:19
age

68 :名無しさん@お腹いっぱい。:03/08/05 05:24
〜話題のアフィリエイト 名前とアドレスだけで登録可能〜

まずIDを取得(無料)
すると宣伝用の専用リンクURLが送られてくるので、これをBBSに貼る 
一ヶ月で、〜10万くらい稼げる・・・人もいるらしい。実際は一万くらい?
興味のある人は↓

ttp://www.adultshoping.com/addclickport.cgi?pid=1060023175
ttp://www.adultshoping.com/index.cgi?id=1060023175

69 :名無しさん@お腹いっぱい。:03/08/05 09:36
保守。
2日前まで書き込みがあったけど、それからは書き込みが全くない。
一度保守してみなよ。
初回のみだけど、保守してみれば何らかの反応が貰える。
貰うだけもらってなにもしないこともできるし、思い切ってもう一回
保守すれば50%でウザイと言われる。
嫌ならスレを覗くだけでいい。暇つぶしになる。
職人降臨とか夏厨とか業者とか色々あるのでマジでお勧め。


70 :_:03/08/05 09:40
http://homepage.mac.com/hiroyuki44/jaz10.html

71 :名無しさん@お腹いっぱい。:03/08/05 10:15
       ,,,..
        (Θ=-
        |.|
        |.|
      ,,ノノ
     γ (,,゚Д゚)   <折 ら な い か ?
    '彡 (ノ ノつ
      '''U"U
      ││
      "  "
しない善よりする偽善、アニータのために折り鶴を、今現在有志が折り続けている模様。
14億円分に届かなくても、哀悼の気持ちをささげるのに意味があるとは思いませんか?
政治思想云々抜きに、ちょっと折ってみませんか?青森に送りますので。

破産したあぶく銭のアニータの為に折り鶴14億円分折らないか?2
<a href=

72 :名無しさん@お腹いっぱい。:03/08/08 06:33
age

73 :名無しさん@お腹いっぱい。:03/08/09 22:19
バカにされた。

74 :名無しさん@お腹いっぱい。:03/08/13 01:39
バカにされた。

75 :名無しさん@お腹いっぱい。:03/08/15 18:08
バカにされた。

76 :山崎 渉:03/08/15 22:43
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

77 :名無しさん@お腹いっぱい。:03/08/18 03:43
バカにされた。

78 :名無しさん@お腹いっぱい。:03/08/20 16:06
バカにされた。

79 :名無しさん@お腹いっぱい。:03/08/24 06:39
age

80 :名無しさん@お腹いっぱい。:03/08/27 19:45
バカにされた。

81 :名無しさん@お腹いっぱい。:03/08/29 00:34
バカにされた。

82 :名無しさん@お腹いっぱい。:03/08/29 21:59
age

83 :名無しさん@お腹いっぱい。:03/08/31 11:46
age

84 :名無しさん@お腹いっぱい。:03/09/03 04:40
これって危険ですか?
よろしくお願いします。

85 :名無しさん@お腹いっぱい。:03/09/05 23:10
これって危険ですか?
よろしくお願いします。

86 :名無しさん@お腹いっぱい。:03/09/14 13:37
age

87 :名無しさん@お腹いっぱい。:03/09/15 15:36
これって危険ですか?
よろしくお願いします。

88 :名無しさん@お腹いっぱい。:03/09/19 18:58
age

89 :名無しさん@お腹いっぱい。:03/09/21 00:39
これって危険ですか?
よろしくお願いします。

90 :名無しさん@お腹いっぱい。:03/09/22 22:23
age

91 :名無しさん@お腹いっぱい。:03/09/22 22:55
age?

92 :名無しさん@お腹いっぱい。:03/09/24 22:04
これってめちゃくちゃ重大なセキュリティホールじゃん。
何で今まで気がつかなかったの?

93 :名無しさん@お腹いっぱい。:03/09/26 06:57
age

94 :名無しさん@お腹いっぱい。:03/09/27 19:40
age

95 :直リン:03/09/27 20:09
http://www.leverage.jp/bloom/qry/search.qry?function=first

96 :名無しさん@お腹いっぱい。:03/09/27 23:19
age

97 :名無しさん@お腹いっぱい。:03/09/28 00:32
http://jbbs.shitaraba.com/bbs/rtl.cgi?CATEGORY=computer

98 :名無しさん@お腹いっぱい。:03/09/28 18:49
これってめちゃくちゃ重大なセキュリティホールじゃん。
何で今まで気がつかなかったの?

99 :名無しさん@お腹いっぱい。:03/09/29 05:30
age

100 :名無しさん@お腹いっぱい。:03/09/29 09:54
祝!!うさだ出番削減

101 :名無しさん@お腹いっぱい。:03/10/05 03:59
これってめちゃくちゃ重大なセキュリティホールじゃん。
何で今まで気がつかなかったの?

102 :名無しさん@お腹いっぱい。:03/10/12 13:16
age

103 :名無しさん@お腹いっぱい。:03/10/13 10:38
これって危険ですか?
よろしくお願いします。

104 :名無しさん@お腹いっぱい。:03/10/14 22:37
http://slashdot.jp/article.pl?sid=01/11/06/1619230
http://java-house.etl.go.jp/~takagi/security/misc/jscript-clipboard/test.html

IEのJAVASCRIPTはクリップボード読み取りの独自拡張がほどこされている
らしいですが、初めて知りました。これってかなり問題と思うのですが、
いかがでしょう?もしやずいぶんと前にガイシュツ?

105 :名無しさん@お腹いっぱい。:03/10/15 15:37
IEを使うな

106 :名無しさん@お腹いっぱい。:03/10/17 08:13
これって危険?

107 :名無しさん@お腹いっぱい。:03/10/18 02:18
age

108 :名無しさん@お腹いっぱい。:03/10/18 02:39
●●●マスコミの「盗聴、盗撮」は許されるのか?その1●●●
http://natto.2ch.net/mass/kako/974/974478132.html
520 名前: もののけ 投稿日: 2001/04/13(金) 18:15
 マスコミ系での盗聴は非常に多く見られますよ。私は同じ社内でも
企画が盗まれたり売られたりしてましたから・・・・。マスコミの関
係者は本当に信用できません・・・って私もですけど・・・仁義って
ものが無いんでしょうね。悲しい現実です。

521 名前: 文責:名無しさん 投稿日: 2001/04/13(金) 19:04
ちょっと前にドラマの主人公が俺と同じポーズで座ってるのをみたときは笑ったよ。

526 名前: 文責:名無しさん 投稿日: 2001/04/13(金) 21:39
突然参加です。私もある有名人にストークされている事、マスコミも自分を観察している事、
ドラマのネタ元にされている事に気付いた者です。盗撮も盗聴もされているらしい
(ドラマやその有名人の撮影セットに、明らかに自宅と同じデザインの家具がある、
着ている服が自分の持ち物と同じetc…)のですが、私は裕福では無い為、大金を積んで調査する事は出来ません。
正直ノイローゼ気味です。相手が有名人の為、直談判も出来ない、友人との会話を番組ネタやアニメネタにされる、
等々、キリがありません。もしや警察もグルではと考え、通報も出来ません。

109 :名無しさん@お腹いっぱい。:03/10/18 09:29
これって危険ですか?
よろしくお願いします。

110 :名無しさん@お腹いっぱい。:03/10/18 10:12
ttp://goisu.net/cgi-bin/psychology/psychology.cgi?menu=c021
例のろりおたさんチェックだが、

あなたのロリコン度はこんな感じ!
あなたのロリコン度は【120%】です。

骨の髄まで腐っているあなた。仕方ありません。生まれつきの性癖です。
いまさらどうしようもありません。
あきらめて、死ぬまでロリ本を読み、ロリ妄想をし、ロリCGを描いて過ごしてください。
あなたのような人がいるからこそ、供給されて成り立つ世界もあるのです。

あなたにぴったりの夢:お気に入りの作家に自分だけのキャラを作ってもらう

再起不能度  100%
腐れ根性度  7%
二次元倒錯度  100%
社会現実度  53%

漏れは、骨の髄まで腐ってはいない。


111 :名無しさん@お腹いっぱい。:03/10/19 09:48
このセキュリティホールもう塞がった?

112 :(・∀・)チンコー:03/12/15 22:04
マンコー

113 :名無しさん@お腹いっぱい。:03/12/22 10:20
>>111
「仕様」ですから対策したければ自分で対策してください。
「スクリプトによる貼り付け処理の許可」を「無効」にするだけです。

114 :& ◆RWwNEVt54c :04/03/25 14:46
ふさげ

20 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)