クリップボードを盗む
http://java-house.etl.go.jp/~takagi/security/misc/jscript-clipboard/test.html
IEのJAVASCRIPTはクリップボード読み取りの独自拡張がほどこされている
らしいですが、初めて知りました。これってかなり問題と思うのですが、
いかがでしょう?もしやずいぶんと前にガイシュツ?
早速「スクリプトによる貼り付け処理の許可」を
「ダイアログを表示する」に設定したよ。
やってるみたいだよ。適当にコピーしてGOだ
http://tarikihongandou.shadowpenguin.org/
わ、すげー、本当だ。
教えてくれてありがとうございます。
イントラネットの設定も変更することにします。
99年3月にガイシュツ
http://www.st.ryukoku.ac.jp/~kjm/security/memo/1999/03.html#19990325_paste
そんな不安定なブラウザ使い物にならんよ。
思考停止のマッカーとネスケ厨は同程度なんだね!
Galeonに汁。(´∀` )
パッチ当てれ
以前はひどかったが、最近のMSはそこそこ頑張ってる。
未だに週に一度は深刻なセキュリティホールが発見されているIEなど
パッチを当てても不安で使えんよ。
.NETもそれまではどんなにすごくてもこわくて初めは使えん。
ネスケは環境によってはフリーズしまくりだから、、
やっぱ恐くて使えん。
IEにまた深刻なセキュリティホールが発見されましたね。
安全と安定のどちらを取るかと聞かれたら私は安全と答えます。
情報を開示しているページってどこにありますか?
バグで落ちる=下手すりゃ任意のコードを実行できる
だぞ。BOF = Exploit とは限らんが可能性は高い。
IE はとりあえず信頼済みサイトを活用してインターネットの安全性を
デフォルトで高くしておけば問題ない。というかIE使いなら常識。
ネスケってBUGTRAQあたりで指摘されているのに公開していない
バグがいっぱいあるのでまったく信用できん。
ネスケユーザ:小知恵がついただけの厨房か、しったかに騙された愚者か、信者。
オペラユーザ:自力で大抵の問題を解決できる人。人柱。
順にWinユーザ、Macユーザ、PC-UNIXユーザに置きかえられるな・・・
ないです。
ばれたらこっそり直すのがネットスケープの昔からのやり方。
>>18-19
激しく同意。
WindowsでBOFからコード走らせる事って出来るのか?
アセンブラなんて何年もやってないからわからんが、IEと違ってネスケ単体
では他のアプリを起動する機能も持っていないし、外部ルーチンを呼ぶなら
ShellExceの類のエントリを知らなければいけないし、単純なアドレス操作な
らi386系のCPUだと特権レベルの保護に引っかかるっしょ。
HTMLクライアントに対してそれだけのアタックをかけられるとしたら、そいつ
の技術レベルはかなりのものはずだよ。
通常のウィルスやマクロウィルスとかに比べたら発生確率は限りなく小さいと
思うのだけど。
>IE はとりあえず信頼済みサイトを活用してインターネットの安全性を
>デフォルトで高くしておけば問題ない。というかIE使いなら常識。
管理者の立場から言わせて貰えば、これこそがとんでもない嘘。
一般的なユーザーは設定のやり方自体知らないので危険なデフォルト設定
のままで使っちゃうし、セキュリティレベルを高くしてユーザーに渡しても、
今度は設定のやり方を知っているユーザーが、ActiveXやスクリプトを使う為
に勝手に解除して、簡単な地雷に引っかかる。
正直、悪夢だよ。
IEAK使えば?
駄レスすまん。
いや、管理者キットの存在なんか忘れていたから参考になったよ。
ありがとう。
でも、実運用考えるとやっぱきつそうですわ。
余程の強権を持っていないとポリシーの決定だけで大もめになるし、
配布の意外に手間だし、使用者側からみると運用の自由度が大きく
制限される事になるのもね。
24を書いていて思ったんだけど、危険度から言えば、バッファオー
バーフローを使ってクライアントで特定コード走らせる事よりも、
(Nimdaの時みたいに)信頼したサイトがクラックされる可能性の方
が遥かに高いから、インターネットのセキュリティレベル設定を
「高」にして、信頼済みサイトを活用すれば安全、と言うのは無理
があると思ったのだけど、どんなもんだろう。
あと、純粋に技術的な興味なんだけど、WindowsでBOFでコード
仕込む事って可能なの?
手元に開発環境も資料もないから確認出来なくて申し訳ないんだ
けど、Win32アプリってフラットモデルでコード、データ、スタ
ックが同じアドレスではあるけれども、CSにリミッタがかかって
いて、コード領域への書込とか、データ領域に後から展開された
コードの実行って出来なかったんじゃなかったっけ。
クリップボード消せるね。
らってきたけど、MEだと通常のDS経由のアドレッシングでコー
ドの自己書換できた。NTは無いので不明。
眠かったんでCSのサイズのチェックは忘れた。BOFでアタック
かけるにはこっちの方が必須なのに・・・鬱だ・・・
ちなみに、上記の2点が出来たからといっても、BOFから特定
コードを走らす事が出来ると言う訳ではありません。
その先がえらく大変な上に、かなりの偶然も要する仕組みなので。
(それが出来るくらいなら、OSレベルで大変な事になっている)
また、アプリが落ちる事に敏感になるのも不要。
Windowsアプリが落ちるのは、ほぼ100%別の理由(藁)だから。
惜しい。もう一歩だ。Shadow Penguin Security というサイトには Windows の
BOF の原理や動作などが詳しく解説されている。行ってみるといい。
情報ありがとう。
面白い上に参考になったよ。
確かにローカルのチェックが甘いコード書く奴いるわな。
これであと、ヒープのオーバーフローからアタックする方法が
なかなか楽しい事が出来るのだけど、こちらは流石に無理かな。
時間の関係で、まだ冒頭の方の斜め読みしかしてないから見落と
しているのかもしれないけど、何でシステムレベルでCSのセグメント
サイズでリミッタかけないのかね。
システム的に何か不都合があるのかな?
単純にセグメントサイズのリミッタをかけるのは難しいと思われ
NTの本来のセキュリティモデルではコードセクションのページに
のみ実行許可を与えて制御することになってましたがx86には
そんな機能ないので実行し放題状態(藁
既出です。
■■■■■■■■終了■■■■■■■■
スクリプトの「タイトルとURLをコピー」とか右クリック拡張のコピーとかを使うために
「スクリプトによる貼り付け処理の許可を有効」にしてる人は、
ダイアログを表示に変えたほうがいいです。
>投稿者 : 作者
>インターネットオプション|セキュリティ|レベルのカスタマイズ|
>スクリプトによる貼り付け処理の許可を有効に。
有効じゃなくて、ダイアログを表示にするほうがいいです。
参考サイト
Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
http://java-house.jp/~takagi/security/misc/jscript-clipboard/test.html
誰か教えて。
XP使ってるけど。
( ^^ )< ぬるぽ(^^)
俺の趣味嗜好とかがバレそうだな。
コンテキストメニューからならいけるんだけど
サイトをクリックしたら見事クリップの内容を
晒し上げれてしまいました・゜・(ノД`)・゜・。
・∀・)つ −=≡I トットケ
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ
まずIDを取得(無料)
すると宣伝用の専用リンクURLが送られてくるので、これをBBSに貼る
一ヶ月で、〜10万くらい稼げる・・・人もいるらしい。実際は一万くらい?
興味のある人は↓
ttp://www.adultshoping.com/addclickport.cgi?pid=1060023175
ttp://www.adultshoping.com/index.cgi?id=1060023175
2日前まで書き込みがあったけど、それからは書き込みが全くない。
一度保守してみなよ。
初回のみだけど、保守してみれば何らかの反応が貰える。
貰うだけもらってなにもしないこともできるし、思い切ってもう一回
保守すれば50%でウザイと言われる。
嫌ならスレを覗くだけでいい。暇つぶしになる。
職人降臨とか夏厨とか業者とか色々あるのでマジでお勧め。
(Θ=-
|.|
|.|
,,ノノ
γ (,,゚Д゚) <折 ら な い か ?
'彡 (ノ ノつ
'''U"U
││
" "
しない善よりする偽善、アニータのために折り鶴を、今現在有志が折り続けている模様。
14億円分に届かなくても、哀悼の気持ちをささげるのに意味があるとは思いませんか?
政治思想云々抜きに、ちょっと折ってみませんか?青森に送りますので。
破産したあぶく銭のアニータの為に折り鶴14億円分折らないか?2
<a href=
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
よろしくお願いします。
よろしくお願いします。
よろしくお願いします。
よろしくお願いします。
何で今まで気がつかなかったの?
何で今まで気がつかなかったの?
何で今まで気がつかなかったの?
よろしくお願いします。
http://java-house.etl.go.jp/~takagi/security/misc/jscript-clipboard/test.html
IEのJAVASCRIPTはクリップボード読み取りの独自拡張がほどこされている
らしいですが、初めて知りました。これってかなり問題と思うのですが、
いかがでしょう?もしやずいぶんと前にガイシュツ?
http://natto.2ch.sc/mass/kako/974/974478132.html
520 名前: もののけ 投稿日: 2001/04/13(金) 18:15
マスコミ系での盗聴は非常に多く見られますよ。私は同じ社内でも
企画が盗まれたり売られたりしてましたから・・・・。マスコミの関
係者は本当に信用できません・・・って私もですけど・・・仁義って
ものが無いんでしょうね。悲しい現実です。
521 名前: 文責:名無しさん 投稿日: 2001/04/13(金) 19:04
ちょっと前にドラマの主人公が俺と同じポーズで座ってるのをみたときは笑ったよ。
526 名前: 文責:名無しさん 投稿日: 2001/04/13(金) 21:39
突然参加です。私もある有名人にストークされている事、マスコミも自分を観察している事、
ドラマのネタ元にされている事に気付いた者です。盗撮も盗聴もされているらしい
(ドラマやその有名人の撮影セットに、明らかに自宅と同じデザインの家具がある、
着ている服が自分の持ち物と同じetc…)のですが、私は裕福では無い為、大金を積んで調査する事は出来ません。
正直ノイローゼ気味です。相手が有名人の為、直談判も出来ない、友人との会話を番組ネタやアニメネタにされる、
等々、キリがありません。もしや警察もグルではと考え、通報も出来ません。
よろしくお願いします。
例のろりおたさんチェックだが、
あなたのロリコン度はこんな感じ!
あなたのロリコン度は【120%】です。
骨の髄まで腐っているあなた。仕方ありません。生まれつきの性癖です。
いまさらどうしようもありません。
あきらめて、死ぬまでロリ本を読み、ロリ妄想をし、ロリCGを描いて過ごしてください。
あなたのような人がいるからこそ、供給されて成り立つ世界もあるのです。
あなたにぴったりの夢:お気に入りの作家に自分だけのキャラを作ってもらう
再起不能度 100%
腐れ根性度 7%
二次元倒錯度 100%
社会現実度 53%
漏れは、骨の髄まで腐ってはいない。
「仕様」ですから対策したければ自分で対策してください。
「スクリプトによる貼り付け処理の許可」を「無効」にするだけです。
てことは例えば
ぷぅ〜〜〜
人様のクリップボート盗み見してるのかよwww
こぉ〜〜のチンカス野郎が
テメーが見てるって事バレてるんだよ
お前みたいな質の悪い生き物は鏡でテメーの肛門眺めてりゃいいんだよ プ
↑
あえてこんなのをクリップボードにコピーして巡回すると面白いってわけだよね
>あなたのロリコン度チェック>結果
あなたのロリコン度がどれくらいあるかを診断してみました。
あなたのロリコン度はこんな感じ!
あなたのロリコン度は【50%】です。
ややロリがかった傾向のあるあなた。
少しヤバめな感じがしなくもありませんが、ギリギリ、セーフです。
そもそも日本人という人種は、ロリ礼賛傾向にあるのです。
お気に入りのマンガをそろえたり、たまにCGやゲームで遊んだりするぐらいなら、ひとつの趣味として、やり過ごすことができるでしょう。
ただし、あまり妄想が行き過ぎないように気をつけてくださいね。
あなたにぴったりの夢:若くて従順な女性との結婚
再起不能度 48%
腐れ根性度 24%
二次元倒錯度 100%
社会現実度 47%
占いの結果をあなたのサイトにはりつけてもらってOKですよ。
その時は、GoisuNetにリンクもしてね。よろしく。
>あなたのヘンタイ度チェック!>結果
あなたのヘンタイ度が診断されました。
あなたのヘンタイ度は?
あなたは【ロリコン・ショタ系ヘンタイ】なタイプ。
あなたは自分にとって従順なうえ、見た目も「かわいい」ものを追及するタイプ。
現実の人間よりも、二元的な世界に理想を求める傾向がありそうです。
自分の世界に没頭しているうちは、人にうしろ指をさされる程度で済みますが、その空想を現実世界に持ちこもうとすると犯罪になりかねないので気をつけてくださいね。
あなたにぴったりの遊び場:コミケ
幼女少年系倒錯度 100%
自虐残虐系倒錯度 48%
同性愛系倒錯度 45%
電波系倒錯度 26%
占いの結果をあなたのサイトにはりつけてもらってOKですよ。
その時は、GoisuNetにリンクもしてね。よろしく。
> >>111
> 「仕様」ですから対策したければ自分で対策してください。
> 「スクリプトによる貼り付け処理の許可」を「無効」にするだけです。
その設定の仕方を教えて下さい
|コココ|エ[ロロロロロ]:エ[[|:エエエ|コココココココ| |
|コココ| .[|ゝ、__,ノ [| .[[| [| .|コココココココ| |
|コココ|=[|======[|=[[|==[|=|コココココココ| |
|コココ| .[| [| .[[| [| .|コココココココ| |
|コココ|=[|======[|=[[|==[|=|コココココココ| |
|コココ| .[|\.コ二二二二二|コココココココ| |
ミミ ヽヽヽヽリリノノノノ
/ ̄ ̄ ̄`⌒\ ミ ,、,、,、,、,、,、,、、 彡
/ ヽ l i'" i彡
| _,___人_ .| | 」 /' '\ |
ヽ|´ ┏━ ━┓`i / ,r- / (・) (・) |
| 《>》 《<》 | .l り ノ( 、_, )ヽ | 三ツ矢サイダーは
(6| ,(、_,)、 |6) ー ノ、__!!_、 |
ヽ トェェェイ / ∧ ヽニニソ | おいしいですよね
ヽ ヽニソ / /\ヽ ノ
`ー一' / ヽ. `ー--一' ノ/ヽ
今はVISTAの時代ですぜ?
スレが立った日付を見てさらにびっくりした
こんな長寿のスレがあるとは。。。
>>136
3年前のレスですよ?
このページをIE6でJavaScriptを機能させて開くと、
クリップボードが常時更新されてしまい貼り付けを実行すると半角空白が貼り付けられてしまう。
FirefoxやSafariなら問題なくできたが・・・
PC memo http://www.hamusuta.net/openbbs/pc/n2.html
>>139 FirefoxやSafariなら
今試したらIE6でも問題なかった。修正されたのかも知れない。
今は8の時代ですぜ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
/file-post.net/ja/fp8/d6/1390491790_69812256_24/?id=aLwyLrJ5cKkq
/file-post.net/ja/fp8/d7/1390492122_127872909_24/?id=IfW8GeVtdAb1
「化野、ここに置いてあったクリップボードはどうしたんだ?
NERVの重要な情報が書いてある書類が挟まっていたんだぞ。」
化野
「あの書類ね。
俺の手回し式シュレッダーで粉々にしちゃったよ。」
ギンコ
「ええっ!?なんて事だ。
まあ、第三者に盗まれなくてよかったがな。」