IEにマウス・カーソルの動きを監視される脆弱性 15
ストーリー by hylom
(前略)IEがあなたを監視する 部門より
(前略)IEがあなたを監視する 部門より
あるAnonymous Coward 曰く、
Internet Explorerに新たな脆弱性が発見された。この脆弱性が悪用されると、マウス・カーソルの動きが監視される可能性があるという。ページがバックグラウンドのタブで開かれている場合やブラウザのウィンドウがアクティブではなく、最小化されている状態であっても影響があるという。仮想キーボードを使用してパスワードやPIN(暗証番号)を入力した場合であっても、キーデータが盗まれてしまう可能性があるとしている(Spider.io、ComputerWorld、本家/.)。
この問題を指摘した、Web解析企業の英国Spider.ioによれば、すでに二つの広告ネットワークがこの脆弱性を悪用、該当するウェブページの表示回数は毎月数十億を超えているとしている。IEのバージョン6~10が影響を受ける可能性があるとしている。
というか、 (スコア:0)
というか、仮想キーボードの類って、たいてい順番まで入れ替わる(そうでないと意味がない)と思うんだけど。
Re: (スコア:0)
でも,あんまりやりすぎると,どこに何があるのかわからなくなって
入力出来ない人がでてくる。テンキーだったら by row, by column と
ascending, descending の組み合わせで 4パターンくらいしかない
っていうのはあるかも。
Re: (スコア:0)
いやいや、ちゃんとシャッフルされてるって。
観たことないの?
そもそも、キーボードとマウスのキャプチャーへの対策でソフトキーボードを表示するんだから。
Re:というか、 (スコア:2)
それは単純にシャッフルするサイトを使ってるだけですよ
#某銀行はシャッフルしない
Re: (スコア:0)
それは単純にシャッフルしないサイトを使ってるだけですよ
Re:というか、 (スコア:2)
たいていって言えるほどシャッフルしてるサイトのほうが多いとは思えないんだけどね
#シャッフルされないサイトのほうが多いんじゃないの?
Re:というか、 (スコア:1)
埼玉りそな銀行はシャッフルしませんね。
ただ、ソフトウェアキーボードはキーロガーを不正実行された場合に対抗するための仕組みなわけで、
攻撃者がキーロガーでキー入力を記録できる状況なら、カーソルの動きを記録することも同様に可能な状況と考えられますから、
まあシャッフルするのが合目的な実装とはいえますね。
ニュースにするなら (スコア:0)
脆弱性が無いときにしてもらわんとかなわんなぁ。
Re:デモページ (スコア:2, すばらしい洞察)
把握してる事実報告としては過不足はないとおもうけど
よければどういう報告(警告?)がのぞましいのか、例文を示していただけると有り難い
M-FalconSky (暑いか寒い)
Re:デモページ (スコア:2, すばらしい洞察)
おっと漏れた
>この問題を指摘した、Web解析企業の英国Spider.ioによれば、すでに二つの広告ネットワークがこの脆弱性を悪用
について、タイミング的に知りえたかは不明なのでそこは置いておく場合です。
# 知ってたなら、すくなくとも上記じゃないだろうとは思うので...
自分自身は、悪用できる度合いがまだイマイチ想像しきれないというのはある、程度はわからないなぁ
M-FalconSky (暑いか寒い)
Re: (スコア:0)
マウスの位置で、どの記事を読んでいるかデータを集めているのは、今じゃ普通。
それにより、興味対象のデータを収集している。
対策されたらビックデータ業界、祭りですよ。
Re: (スコア:0)
非アクティブなウィンドウがフォアグランドのウィンドウ上のマウスの位置を集めるのは普通じゃないと思うけど?