以下のメッセージを削除します。


[2095] Re:同一オリジンポリシーについて
返信


投稿者:くまきち
2018/01/05 21:19:47

Link:
なるほど、そういうことですね。
私は勝手に「社内イントラネットのPC=社内イントラネットのサーバ」と考えてしまっていました!
理解することが出来ました。いつも、ありがとうございます。


>>ご指摘のあった続き部分にある「JavaScriptでXMLHttpRequestを使って
>>イントラネットの情報にアクセスし・・・」ですが、このときJavaScriptは
>>社内イントラネットのPCにダウンロードされてきているものと思います。
>
>そうです。
>
>>XMLHttpRequestはサーバとの通信を行うものだと思うので、この場合には
>>当てはまらないのではないかと思いました(通信の必要は無いのではないか)。
>>確かにJavaScriptのダウンロード元(怪しいページ)と通信先(イントラ)は
>>同一オリジンポリシーに反するので、アクセスできないということは分かりましたが、
>>わざわざそのようなことをする事があるのかな?という所に疑問が残ります。
>
>その、怪しいサイトからダウンロードしたJavaScriptが、
>XMLHttpRequestを使って社内イントラネットにアクセスして
>情報を盗み出す、という危険があるわけです。
>
>|覽戮澆房勸がPCから怪しいサイトにアクセス
>怪しいサイトから、社員のPCに、悪意を持ったJavaScriptがダウンロードされる
>0意を持ったJavaScriptが、XMLHttpRequest等を使って社内イントラの
> 情報にアクセスする。
>ぐ意を持ったJavaScriptは、盗んだ情報を、XMLHttpRequestなりPOSTなりで
> 怪しいサイトに送信する。
>
>もちろんそのためには社内イントラネットの情報源のURLが
>わからないといけませんが、それは普通機密情報とみなされないでしょうから
>わかっているかもしれませんし、ありがちなグループウェアのURLを
>しらみつぶしにするとかも考えられるのではないでしょうか。
>
>

パスワード:

管理者削除