K.Maebashi's BBS

ご自由に書き込んでください。雑談も可。
テスト書き込みの類はテスト用掲示板にどうぞ

[日付順表示] [日付順インデックス] [スレッド順インデックス]
新規投稿 | 開設者ホームページへ戻る | ヘルプ
[2088] 同一オリジンポリシーについて
返信
投稿者:くまきち
2018/01/03 01:34:01
Link:
『基礎からのWebアプリケーション開発入門』のP.225にある同一オリジンポリシーについて、解説にある例が分からず質問させてください。 「会社で昼休みに・・・」という例が挙がっていますが、この場合、自分から怪しいwebページにアクセスしているので、javascriptのダウンロード元と通信先が同一になってしまうように思います。つまり、同一オリジンポリシーは満たしていると思われるため、この例の意図が分からず質問させて頂いたものです。 初歩的な質問かも知れませんが、よろしくお願いいたします。
[この投稿を含むスレッドを表示] [この投稿を削除]
[2089] Re:同一オリジンポリシーについて
返信
投稿者:(ぱ)こと管理人
2018/01/03 10:13:49
Link:
>「会社で昼休みに・・・」という例が挙がっていますが、この場合、自分から >怪しいwebページにアクセスしているので、javascriptのダウンロード元と >通信先が同一になってしまうように思います。つまり、同一オリジンポリシーは >満たしていると思われるため、この例の意図が分からず質問させて頂いたものです。 怪しいページについてはその通りですが、続きに以下のように書いています。 >怪しいページにて、JavaScriptでXMLHttpRequestを使ってイントラネットの >情報にアクセスし、それをXMLHttpRequestなりフォームのPOSTなりで >外部サーバに送信すれば情報が盗めてしまう、というのでは困ります。 つまり、この文脈で、同一オリジンポリシーにひっかかってアクセスできないのは、 社内イントラネットの情報の方です。
[この投稿を含むスレッドを表示] [この投稿を削除]
[2090] Re:同一オリジンポリシーについて
返信
投稿者:くまきち
2018/01/03 21:17:15
Link:
回答ありがとうございます。ですが、もう少しだけ分からないため、再質問させて下さい。 ご指摘のあった続き部分にある「JavaScriptでXMLHttpRequestを使ってイントラネットの情報にアクセスし・・・」ですが、このときJavaScriptは社内イントラネットのPCにダウンロードされてきているものと思います。XMLHttpRequestはサーバとの通信を行うものだと思うので、この場合には当てはまらないのではないかと思いました(通信の必要は無いのではないか)。 確かにJavaScriptのダウンロード元(怪しいページ)と通信先(イントラ)は同一オリジンポリシーに反するので、アクセスできないということは分かりましたが、わざわざそのようなことをする事があるのかな?という所に疑問が残ります。 正月早々、申し訳ありませんが、お時間があるときに回答頂けると助かりますww >>「会社で昼休みに・・・」という例が挙がっていますが、この場合、自分から >>怪しいwebページにアクセスしているので、javascriptのダウンロード元と >>通信先が同一になってしまうように思います。つまり、同一オリジンポリシーは >>満たしていると思われるため、この例の意図が分からず質問させて頂いたものです。 > >怪しいページについてはその通りですが、続きに以下のように書いています。 > >>怪しいページにて、JavaScriptでXMLHttpRequestを使ってイントラネットの >>情報にアクセスし、それをXMLHttpRequestなりフォームのPOSTなりで >>外部サーバに送信すれば情報が盗めてしまう、というのでは困ります。 > >つまり、この文脈で、同一オリジンポリシーにひっかかってアクセスできないのは、 >社内イントラネットの情報の方です。 >
[この投稿を含むスレッドを表示] [この投稿を削除]
[2091] Re:同一オリジンポリシーについて
返信
投稿者:(ぱ)こと管理人
2018/01/04 15:47:13
Link:
>ご指摘のあった続き部分にある「JavaScriptでXMLHttpRequestを使って >イントラネットの情報にアクセスし・・・」ですが、このときJavaScriptは >社内イントラネットのPCにダウンロードされてきているものと思います。 そうです。 >XMLHttpRequestはサーバとの通信を行うものだと思うので、この場合には >当てはまらないのではないかと思いました(通信の必要は無いのではないか)。 >確かにJavaScriptのダウンロード元(怪しいページ)と通信先(イントラ)は >同一オリジンポリシーに反するので、アクセスできないということは分かりましたが、 >わざわざそのようなことをする事があるのかな?という所に疑問が残ります。 その、怪しいサイトからダウンロードしたJavaScriptが、 XMLHttpRequestを使って社内イントラネットにアクセスして 情報を盗み出す、という危険があるわけです。 ①昼休みに社員がPCから怪しいサイトにアクセス ②怪しいサイトから、社員のPCに、悪意を持ったJavaScriptがダウンロードされる ③悪意を持ったJavaScriptが、XMLHttpRequest等を使って社内イントラの  情報にアクセスする。 ④悪意を持ったJavaScriptは、盗んだ情報を、XMLHttpRequestなりPOSTなりで  怪しいサイトに送信する。 もちろんそのためには社内イントラネットの情報源のURLが わからないといけませんが、それは普通機密情報とみなされないでしょうから わかっているかもしれませんし、ありがちなグループウェアのURLを しらみつぶしにするとかも考えられるのではないでしょうか。
[この投稿を含むスレッドを表示] [この投稿を削除]
[2095] Re:同一オリジンポリシーについて
返信
投稿者:くまきち
2018/01/05 21:19:47
Link:
なるほど、そういうことですね。 私は勝手に「社内イントラネットのPC=社内イントラネットのサーバ」と考えてしまっていました! 理解することが出来ました。いつも、ありがとうございます。 >>ご指摘のあった続き部分にある「JavaScriptでXMLHttpRequestを使って >>イントラネットの情報にアクセスし・・・」ですが、このときJavaScriptは >>社内イントラネットのPCにダウンロードされてきているものと思います。 > >そうです。 > >>XMLHttpRequestはサーバとの通信を行うものだと思うので、この場合には >>当てはまらないのではないかと思いました(通信の必要は無いのではないか)。 >>確かにJavaScriptのダウンロード元(怪しいページ)と通信先(イントラ)は >>同一オリジンポリシーに反するので、アクセスできないということは分かりましたが、 >>わざわざそのようなことをする事があるのかな?という所に疑問が残ります。 > >その、怪しいサイトからダウンロードしたJavaScriptが、 >XMLHttpRequestを使って社内イントラネットにアクセスして >情報を盗み出す、という危険があるわけです。 > >①昼休みに社員がPCから怪しいサイトにアクセス >②怪しいサイトから、社員のPCに、悪意を持ったJavaScriptがダウンロードされる >③悪意を持ったJavaScriptが、XMLHttpRequest等を使って社内イントラの > 情報にアクセスする。 >④悪意を持ったJavaScriptは、盗んだ情報を、XMLHttpRequestなりPOSTなりで > 怪しいサイトに送信する。 > >もちろんそのためには社内イントラネットの情報源のURLが >わからないといけませんが、それは普通機密情報とみなされないでしょうから >わかっているかもしれませんし、ありがちなグループウェアのURLを >しらみつぶしにするとかも考えられるのではないでしょうか。 > >
[この投稿を含むスレッドを表示] [この投稿を削除]