K.Maebashi's BBS

ご自由に書き込んでください。雑談も可。
テスト書き込みの類はテスト用掲示板にどうぞ

[日付順表示] [日付順インデックス] [スレッド順インデックス]


新規投稿 | 開設者ホームページへ戻る | ヘルプ


[2088] 同一オリジンポリシーについて
返信


投稿者:くまきち
2018/01/03 01:34:01

Link:
『基礎からのWebアプリケーション開発入門』のP.225にある同一オリジンポリシーについて、解説にある例が分からず質問させてください。

「会社で昼休みに・・・」という例が挙がっていますが、この場合、自分から怪しいwebページにアクセスしているので、javascriptのダウンロード元と通信先が同一になってしまうように思います。つまり、同一オリジンポリシーは満たしていると思われるため、この例の意図が分からず質問させて頂いたものです。

初歩的な質問かも知れませんが、よろしくお願いいたします。
[ この投稿を含むスレッドを表示] [ この投稿を削除]



[2089] Re:同一オリジンポリシーについて
返信


投稿者:(ぱ)こと管理人
2018/01/03 10:13:49

Link:
>「会社で昼休みに・・・」という例が挙がっていますが、この場合、自分から
>怪しいwebページにアクセスしているので、javascriptのダウンロード元と
>通信先が同一になってしまうように思います。つまり、同一オリジンポリシーは
>満たしていると思われるため、この例の意図が分からず質問させて頂いたものです。

怪しいページについてはその通りですが、続きに以下のように書いています。

>怪しいページにて、JavaScriptでXMLHttpRequestを使ってイントラネットの
>情報にアクセスし、それをXMLHttpRequestなりフォームのPOSTなりで
>外部サーバに送信すれば情報が盗めてしまう、というのでは困ります。

つまり、この文脈で、同一オリジンポリシーにひっかかってアクセスできないのは、
社内イントラネットの情報の方です。
[ この投稿を含むスレッドを表示] [ この投稿を削除]



[2090] Re:同一オリジンポリシーについて
返信


投稿者:くまきち
2018/01/03 21:17:15

Link:
回答ありがとうございます。ですが、もう少しだけ分からないため、再質問させて下さい。

ご指摘のあった続き部分にある「JavaScriptでXMLHttpRequestを使ってイントラネットの情報にアクセスし・・・」ですが、このときJavaScriptは社内イントラネットのPCにダウンロードされてきているものと思います。XMLHttpRequestはサーバとの通信を行うものだと思うので、この場合には当てはまらないのではないかと思いました(通信の必要は無いのではないか)。

確かにJavaScriptのダウンロード元(怪しいページ)と通信先(イントラ)は同一オリジンポリシーに反するので、アクセスできないということは分かりましたが、わざわざそのようなことをする事があるのかな?という所に疑問が残ります。

正月早々、申し訳ありませんが、お時間があるときに回答頂けると助かりますww

>>「会社で昼休みに・・・」という例が挙がっていますが、この場合、自分から
>>怪しいwebページにアクセスしているので、javascriptのダウンロード元と
>>通信先が同一になってしまうように思います。つまり、同一オリジンポリシーは
>>満たしていると思われるため、この例の意図が分からず質問させて頂いたものです。
>
>怪しいページについてはその通りですが、続きに以下のように書いています。
>
>>怪しいページにて、JavaScriptでXMLHttpRequestを使ってイントラネットの
>>情報にアクセスし、それをXMLHttpRequestなりフォームのPOSTなりで
>>外部サーバに送信すれば情報が盗めてしまう、というのでは困ります。
>
>つまり、この文脈で、同一オリジンポリシーにひっかかってアクセスできないのは、
>社内イントラネットの情報の方です。
>
[ この投稿を含むスレッドを表示] [ この投稿を削除]



[2091] Re:同一オリジンポリシーについて
返信


投稿者:(ぱ)こと管理人
2018/01/04 15:47:13

Link:
>ご指摘のあった続き部分にある「JavaScriptでXMLHttpRequestを使って
>イントラネットの情報にアクセスし・・・」ですが、このときJavaScriptは
>社内イントラネットのPCにダウンロードされてきているものと思います。

そうです。

>XMLHttpRequestはサーバとの通信を行うものだと思うので、この場合には
>当てはまらないのではないかと思いました(通信の必要は無いのではないか)。
>確かにJavaScriptのダウンロード元(怪しいページ)と通信先(イントラ)は
>同一オリジンポリシーに反するので、アクセスできないということは分かりましたが、
>わざわざそのようなことをする事があるのかな?という所に疑問が残ります。

その、怪しいサイトからダウンロードしたJavaScriptが、
XMLHttpRequestを使って社内イントラネットにアクセスして
情報を盗み出す、という危険があるわけです。

|覽戮澆房勸がPCから怪しいサイトにアクセス
怪しいサイトから、社員のPCに、悪意を持ったJavaScriptがダウンロードされる
0意を持ったJavaScriptが、XMLHttpRequest等を使って社内イントラの
 情報にアクセスする。
ぐ意を持ったJavaScriptは、盗んだ情報を、XMLHttpRequestなりPOSTなりで
 怪しいサイトに送信する。

もちろんそのためには社内イントラネットの情報源のURLが
わからないといけませんが、それは普通機密情報とみなされないでしょうから
わかっているかもしれませんし、ありがちなグループウェアのURLを
しらみつぶしにするとかも考えられるのではないでしょうか。

[ この投稿を含むスレッドを表示] [ この投稿を削除]



[2095] Re:同一オリジンポリシーについて
返信


投稿者:くまきち
2018/01/05 21:19:47

Link:
なるほど、そういうことですね。
私は勝手に「社内イントラネットのPC=社内イントラネットのサーバ」と考えてしまっていました!
理解することが出来ました。いつも、ありがとうございます。


>>ご指摘のあった続き部分にある「JavaScriptでXMLHttpRequestを使って
>>イントラネットの情報にアクセスし・・・」ですが、このときJavaScriptは
>>社内イントラネットのPCにダウンロードされてきているものと思います。
>
>そうです。
>
>>XMLHttpRequestはサーバとの通信を行うものだと思うので、この場合には
>>当てはまらないのではないかと思いました(通信の必要は無いのではないか)。
>>確かにJavaScriptのダウンロード元(怪しいページ)と通信先(イントラ)は
>>同一オリジンポリシーに反するので、アクセスできないということは分かりましたが、
>>わざわざそのようなことをする事があるのかな?という所に疑問が残ります。
>
>その、怪しいサイトからダウンロードしたJavaScriptが、
>XMLHttpRequestを使って社内イントラネットにアクセスして
>情報を盗み出す、という危険があるわけです。
>
>|覽戮澆房勸がPCから怪しいサイトにアクセス
>怪しいサイトから、社員のPCに、悪意を持ったJavaScriptがダウンロードされる
>0意を持ったJavaScriptが、XMLHttpRequest等を使って社内イントラの
> 情報にアクセスする。
>ぐ意を持ったJavaScriptは、盗んだ情報を、XMLHttpRequestなりPOSTなりで
> 怪しいサイトに送信する。
>
>もちろんそのためには社内イントラネットの情報源のURLが
>わからないといけませんが、それは普通機密情報とみなされないでしょうから
>わかっているかもしれませんし、ありがちなグループウェアのURLを
>しらみつぶしにするとかも考えられるのではないでしょうか。
>
>
[ この投稿を含むスレッドを表示] [ この投稿を削除]