IEで一時的に RestrictedSitesZoneで 閲覧する方法

ネット上の場合

<iframe security="restricted" 
 src="[制限付きサイトゾーンで見たいURL]"
 width="100%" height="100%">
</iframe>

framesetとframeで行っても良いようだ。ローカルにあるHTMLからiframeで埋め込んでもOK。埋め込んだHTML内のiframeにも制限付きは遺伝する。当然のことながら該当の一時的に制限付きサイトゾーン扱いのHTMLページのリンクを踏めば本来のセキュリティーゾーンにて。何度か間違った私。orz

ローカルマシン上の場合

以下のようなコメントをつっこんでおく。

<!-- saved from url=(0007)http:// -->

XPのSP2で、せっかくロックダウンされているローカルマシーンゾーン、例えばデスクトップとかでわざわざ制限付きサイトゾーンのコンテンツを開くのは危ないかも知れない【何?】ですので。自分が作ったHTML文書とか信頼できるものだけを対象にするのがいいかもです。

私は以前から知りたいのですが、制限付きゾーンのセキュリティ設定で、ActiveXを含み、他は全部不許可でJavaScriptのみ許可している人がいるのかなぁということ。IEらしさだけを放逐して本来危険性がないはずのJavaScriptを楽しむ人たちがいるのか?ということを知りたいですね。パーセンテージは少ないのでしょうけれど。平気でHTMLメールをOutlookExpressで開いちゃいたい設定の人。

役に立つのか

自分の作ったHTML文書がJavaScriptActiveX無しでもきちんと閲覧できるかどうか検査。

近況

知らない外人さんからメールが来た。どこで私のメアドをお知りになったのでしょう?ヘッダを調べて彼のメアドでGOOGLEしたら結構有名なネットワークセキュリティ屋さんだった。本名で調べたらコンサル会社のエライさんみたいだった。顔写真やら愛車の写真を添付で送ってきた。むぅ。社内文書(電子メールの往復しているの。ヘッダ付き。)をBCCで私に送ってきた。生体認証やら暗号やらの開発体制が固まったようなことが書いてあった。今後の概略スケジュールも書いてあった。謎の外人さんはその外国の会社の一番エライ人から感謝されているみたいだった。私に言うに、ビールが飲みたいねぇ、電話番号教えれ、とか書いてあった。技術説明を英語で書かれてもいまいち意味不明なところもある。オイラ専門家じゃぁないしなぁ。口語体なら日本語は上手らしい。日本語IMEなしでローマ字で少しだけ書いてきている。

・・・どうしたらよいのかサッパリわからない…

ところでお蔭様で無事にAdminのパスワードを設定できました。ありがとうございます。>各位

2月中に光回線に換えます。今ISDNだから夢のようです。一月あたり5000円くらい安くなる予定。なぜならIP電話に換えるからなのでした。また設定変えなくちゃ。今はネットワークボードを使っていなくてCOMポートだから。設定方法をあらためて勉強するのも楽しいですね。

第2種(自分で命名)モンティ・ホールの問題についてシミュレータを作成中。モンティが開くドアに作為なり好みがあった場合にどうなるのか。私は影響が出ないはずと踏んでいるのですけど。JavaScriptの練習になるので時間がかかっています。言語って苦手。

GMailを無限にinviteしてくれるサイト

|S/omeone’s diary - 謎の日記 - 大戸屋に行ってきたさんでみつけたのですが。

Currently, we have 283,522 invites available to share. Thanks to the generosity of folks like you, we've distributed 334,464 invites since this page went up on Sep 13, 2004.

isnoop.net gmail invite spoolerより引用。

これはこれで怖いと思うんだゆ。大丈夫なのかゆ。

【例えば。】私もGMailのアカウントを所持していますが私のリアル個人情報を知っているのはinviteしてくれたnobodyさんしかいないし、nobodyさん自身、ネット上では絶対に正体がわからないようになっている鉄則のポリシーの持ち主です。何が【例えば】なのかは謎ですけれど。わかってください。

CSRF

最近急にCSRF=クロスサイトリクエストフォージェリのことをあちこちで聞くようになりました。ちょっと前にCSRFの関連リンクを当日記でまとめたばかりなのでナイスタイミングです。

クロスサイトリクエストフォージェリは受動的攻撃の一種です。昨日まで、私はCSRFXSSの両立について考えてもみませんでしたが案外といっぱいありそうな気がしてきました。

クロスサイトリクエストフォージェリって、受動的攻撃の手法のひとつの特性について名前をつけたような気がします。以前から知られていたはずの各種技法のひとつのグループのジャンルに名前をつけた、そのような認識です。明確に定義できないのはツライのですが、今のところ、本質的にステートレスであるHTTPなりHTTPSなりで擬似的にセッションを保持しようとする制御の穴を、受動的に攻撃する方法論なのだというくくりつけです。

したがって、XSSのような攻撃手法とはベクトルが違う。同じように見えても本質が違う。XSSはHTMLの表現についてのinjectionであり、HTMLやSCRIPTやSTYLEなどの構造体の破壊(=ブラウザのレンダリング・ハンドリングの破壊)なのですが、CSRF(クロスサイトリクエストフォージェリ)にはそのような意味合いはなく、単にブラウザは踏み台なのですよねぇ、たぶん。XSS脆弱性がなくとも、セッション管理が充分にできていないサイトへの踏み台を使った受動的攻撃なのでしょう。

CSRFの凶暴性が最も露骨に現れるのは、恐らく、イントラネットへの攻撃なのでしょうか。亜子さんから言われて目からウロコが落ちました。そりゃそうだなぁと。

閉鎖状態のはずの住民基本台帳システム(イントラですか?)で何かあるとしたら、CSRFがひとつのキッカケとなりうるのでしょうか。

IEのステータスバーをJavaScript抜きで偽装する

a threadless kite - 糸の切れた凧(2005-02-18) - Internet Explorer/Outlook Express Status Bar Spoofing (Secunia)から引用。

<p><a id="SPOOF" href="[malicious_site]"></a></p>
<div> <a href="[trusted_site]"> <table> <caption>
<a href="[trusted_site]"> <label for="SPOOF"> <u style="cursor: pointer; color: blue"> [trusted_site] </u> </label> </a> </caption> </table> </a> </div>

右クリックで開けば良いという意見あり。こうすればどうか。

<p><a id="SPOOF" href="[malicious_site]"></a></p>
<div><a href="[trusted_site]">
<table><caption>
<a href="[malicious_site]">
<label for="SPOOF">
<u style="cursor: pointer; color: blue">
[trusted_site]
</u>
</label>
</a>
</caption>
</table>
</a>
</div>

こうすると右クリックで即開いても悪意あるところに誘導される。onMousedownでステータスバーを見ればどこに誘導されるかがわかるが一瞬であろうそんな表示をを見る人がどれだけいるのであろうか。

OutlookExpressでHTMLを平気で開く人は要注意だ。JavaScriptが働かないだろうと油断していると釣り師(フィシングする人)の餌食になりそう。

STUDIO KAMADAさんが以前おっしゃっていた事なのだが、該当のリンクで右クリックしてショートカットをコピー、エディタなどに貼り付けてURLを確認、が一番最強だと思う。結局、リンクURLは信じるな、自分で手入力でアドレスバーに打ち込め、ということに限りなく近い。

えび日記で、ばけらさんがおっしゃっていたことに粉飾すれば、label要素で指し示すアンカー、がまっとうな精神からすると不気味らしい。アンカーは確かにコントロールではないからだ。HTMLの規格に違反。っていうより、アンカーの入れ子の中に不自然なHTML構造が埋まっているのだけれども、HTMLのDTDにおいてこれは許可されいるのであろうか?あるいは、DTDで暗黙に満たしているとしても、それだけでは単なる必要条件。十分ではない。DTD以外の記述で、W3C的に、こいつはOKなのであろうか?まぁ普通に考えれば駄目なんだし、Mozilla cousin (FireFoxとか)では明確に処理されているし。IE7でも駄目だろう。きっと。IEはブラウザの機能の本質を大事にしていないからだ。本質とは論理的な構造でもっていかに伝えるかだ。

XPSP2のポップアップブロッカーでブラクラする嫌な奴

Popup Killer testerが言うことにゃ、There is a very stubborn popup on this page...Some popup blockers can get into a loop here.なのだそうで、IE on WindowsXpSp2も例外ではなく、いや例外か。確かに一瞬困るのだが、何も落とさずに脱出する手立てはあるのであった。困りなされ。これはパズルだ。

本日一日でいろんなことを体験したので書いてみたものの、結局のところデートの待ち合わせ失敗でせつない心がたまたまいろんな体験をした珍しい1日に過ぎない。平穏な日々が明日からまた来るのだ。