K.Maebashi's BBS 投稿フォーム
ハンドル名
件名
Link
>なるほど、そういうことですね。 >私は勝手に「社内イントラネットのPC=社内イントラネットのサーバ」と考えてしまっていました! >理解することが出来ました。いつも、ありがとうございます。 > > >>>ご指摘のあった続き部分にある「JavaScriptでXMLHttpRequestを使って >>>イントラネットの情報にアクセスし・・・」ですが、このときJavaScriptは >>>社内イントラネットのPCにダウンロードされてきているものと思います。 >> >>そうです。 >> >>>XMLHttpRequestはサーバとの通信を行うものだと思うので、この場合には >>>当てはまらないのではないかと思いました(通信の必要は無いのではないか)。 >>>確かにJavaScriptのダウンロード元(怪しいページ)と通信先(イントラ)は >>>同一オリジンポリシーに反するので、アクセスできないということは分かりましたが、 >>>わざわざそのようなことをする事があるのかな?という所に疑問が残ります。 >> >>その、怪しいサイトからダウンロードしたJavaScriptが、 >>XMLHttpRequestを使って社内イントラネットにアクセスして >>情報を盗み出す、という危険があるわけです。 >> >>①昼休みに社員がPCから怪しいサイトにアクセス >>②怪しいサイトから、社員のPCに、悪意を持ったJavaScriptがダウンロードされる >>③悪意を持ったJavaScriptが、XMLHttpRequest等を使って社内イントラの >> 情報にアクセスする。 >>④悪意を持ったJavaScriptは、盗んだ情報を、XMLHttpRequestなりPOSTなりで >> 怪しいサイトに送信する。 >> >>もちろんそのためには社内イントラネットの情報源のURLが >>わからないといけませんが、それは普通機密情報とみなされないでしょうから >>わかっているかもしれませんし、ありがちなグループウェアのURLを >>しらみつぶしにするとかも考えられるのではないでしょうか。 >> >>
spamよけのため、ここに「ほげぴよ」と入力してください。
削除パスワード :
クリック!