K.Maebashi's BBS

ご自由に書き込んでください。雑談も可。
テスト書き込みの類はテスト用掲示板にどうぞ

[日付順表示] [日付順インデックス] [スレッド順インデックス]


新規投稿 | 開設者ホームページへ戻る | ヘルプ


[2091] Re:同一オリジンポリシーについて
返信


投稿者:(ぱ)こと管理人
2018/01/04 15:47:13

Link:
>ご指摘のあった続き部分にある「JavaScriptでXMLHttpRequestを使って
>イントラネットの情報にアクセスし・・・」ですが、このときJavaScriptは
>社内イントラネットのPCにダウンロードされてきているものと思います。

そうです。

>XMLHttpRequestはサーバとの通信を行うものだと思うので、この場合には
>当てはまらないのではないかと思いました(通信の必要は無いのではないか)。
>確かにJavaScriptのダウンロード元(怪しいページ)と通信先(イントラ)は
>同一オリジンポリシーに反するので、アクセスできないということは分かりましたが、
>わざわざそのようなことをする事があるのかな?という所に疑問が残ります。

その、怪しいサイトからダウンロードしたJavaScriptが、
XMLHttpRequestを使って社内イントラネットにアクセスして
情報を盗み出す、という危険があるわけです。

|覽戮澆房勸がPCから怪しいサイトにアクセス
怪しいサイトから、社員のPCに、悪意を持ったJavaScriptがダウンロードされる
0意を持ったJavaScriptが、XMLHttpRequest等を使って社内イントラの
 情報にアクセスする。
ぐ意を持ったJavaScriptは、盗んだ情報を、XMLHttpRequestなりPOSTなりで
 怪しいサイトに送信する。

もちろんそのためには社内イントラネットの情報源のURLが
わからないといけませんが、それは普通機密情報とみなされないでしょうから
わかっているかもしれませんし、ありがちなグループウェアのURLを
しらみつぶしにするとかも考えられるのではないでしょうか。

[ この投稿を含むスレッドを表示] [ この投稿を削除]



[ より新しい投稿] [ より古い投稿]