Más contenido relacionado
SecurityCamp2015「CVE-2015-4483解説」
- 4. 概要
feed: プロトコルの接頭辞付き URL でターゲットと
するページを POST メソッドで開いた場合に、その
ページのための混合コンテンツブロッカーが無効化
されてしまうことが、セキュリティ研究者
の Masato Kinugawa 氏によって報告されました
。これは、本来ブロックされるべき安全でないコン
テンツを偶然含んだページに対する中間者 (MITM)
スクリプティング攻撃のリスクを生む恐れがありま
した。
タイトル:
POST 時の feed プロトコルによっ
て混合コンテンツ制限が回避される
- 5. feed プロトコル?
feed: プロトコルの接頭辞付き URL でターゲットと
するページを POST メソッドで開いた場合に、その
ページのための混合コンテンツブロッカーが無効化
されてしまうことが、セキュリティ研究者
の Masato Kinugawa 氏によって報告されました
。これは、本来ブロックされるべき安全でないコン
テンツを偶然含んだページに対する中間者 (MITM)
スクリプティング攻撃のリスクを生む恐れがありま
した。
タイトル:
POST 時の feed プロトコルによっ
て混合コンテンツ制限が回避される
- 14. 混合コンテンツ制限?
feed: プロトコルの接頭辞付き URL でターゲットと
するページを POST メソッドで開いた場合に、その
ページのための混合コンテンツブロッカーが無効化
されてしまうことが、セキュリティ研究者
の Masato Kinugawa 氏によって報告されました
。これは、本来ブロックされるべき安全でないコン
テンツを偶然含んだページに対する中間者 (MITM)
スクリプティング攻撃のリスクを生む恐れがありま
した。
タイトル:
POST 時の feed プロトコルによっ
て混合コンテンツ制限が回避される
- 17. var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-xxxxx-y']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script');
ga.type = 'text/javascript';
ga.async = true;
ga.src = ('https:' ==
document.location.protocol ?
'https://ssl' : 'http://www')
+ '.google-analytics.com/ga.js';
var s =
document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(ga, s);
})();
- 20. ちなみに
"about:","blob:","chrome:","data:","feed:","file:",
"ftp:","http:","https:","jar:","javascript:",
"mailto:","mediasource:","moz-anno:","moz-device:",
"moz-icon:","moz-page-thumb:","moz-safe-about:",
"pcast:","resource:","vbscript:",
"view-source:","ws:","wss:","wyciwyg:"
Firefoxで使えそうなプロトコル
列挙して何かしようとしている最中