NoScript単体でIFRAME禁止のすり抜けを確認 その2 ― 2009/07/22 20:08
うちの環境に限ったことかもしれませんが、次の手順でIFRAME禁止のすり抜けが再現できるのを確認しました。
環境
・Windows XP Professional SP3
・Firefox 3.5.1
・NoScript 1.9.6.7、1.9.6.8、1.9.6.9
(NoScriptだけとそれ以外のアドオンを入れた環境の双方で再現しています)
手順
・NoScriptで<IFRAME>の禁止にチェックを入れて[OK]ボタンを押す
・Firefoxを終了する
・キャッシュファイルを消す
・このブログを表示する(http://puppet.asablo.jp/blog/)
・カウンターのIFRAMEがすり抜けます
キャッシュを消すのはFirefox上からでも構いませんが、消したのを確認できるということで上の手順にしています。
IFRAME禁止すり抜けの様子
画像クリックで全体を表示
すり抜けた後、リロードするとブロックされます。
画像クリックで全体を表示
Express5800/S70 タイプSD、BIOS改、E8400換装品と引退したPentium4 3.06GHz、HTT有効の2台のマシンで確認しました。(OSとかウイルス対策はほぼ同じ環境)
興味深いことに、今までのすり抜けと明らかな相違点があります。
まいったなぁ問題が増えてるよなぁ……逃がしちゃくれないってか(T_T)
でもなんでうちのブログだけで発生するのだろう。自動で挿入される<p>タグのせいかなぁ……。
追記2:G`nome様とmei様からご協力頂きました。ありがとうございます。m(_ _)m
-追記-
カウンターの動作を表に追加。
それと、今迄の現象がおさまって今回の現象なのか、今回の現象がプラスされたのかはまだ判断つきません。なにしろ今迄のは発生率が低いので、一週間くらいは様子を見てみないと(それでも多分としか言えませんけどね)。
とか書いてたら、すっぽ抜け発生。
ということで悪化の一途をたどっていると判明しました。 orz
順序は
・カウンターを表示して「Your browser sent no Referer: header」の画像を採取
・編集画面で画像貼り付けて、このブログを表示
・すっぽ抜け発生 orz
ブログの編集と表示を行き来するのが一番発生率が高いようです。
ホワイトリストに「www.asablo.jp」「s.asablo.jp」が入っていて、ホワイトリストにない「puppet.asablo.jp」を表示するからおかしなことになるのか?
IFRAME禁止をすり抜けてカウンターが表示されるケース。
リロードしても治りませんし、他のサイトのIFRAMEもすり抜けます。
すっぽ抜けでなく、一時的にカウンターの表示を許可した場合、NoScriptのメニューに「一時的な許可を取り消す」が増えます。
当たり前ですが、この場合は他のサイトを表示してもIFRAMEはブロックされます。
だれか「とんずら」のスキル下さい。(T-T)
環境
・Windows XP Professional SP3
・Firefox 3.5.1
・NoScript 1.9.6.7、1.9.6.8、1.9.6.9
(NoScriptだけとそれ以外のアドオンを入れた環境の双方で再現しています)
手順
・NoScriptで<IFRAME>の禁止にチェックを入れて[OK]ボタンを押す
・Firefoxを終了する
・キャッシュファイルを消す
・このブログを表示する(http://puppet.asablo.jp/blog/)
・カウンターのIFRAMEがすり抜けます
キャッシュを消すのはFirefox上からでも構いませんが、消したのを確認できるということで上の手順にしています。
IFRAME禁止すり抜けの様子
すり抜けた後、リロードするとブロックされます。
Express5800/S70 タイプSD、BIOS改、E8400換装品と引退したPentium4 3.06GHz、HTT有効の2台のマシンで確認しました。(OSとかウイルス対策はほぼ同じ環境)
興味深いことに、今までのすり抜けと明らかな相違点があります。
| 今迄 | 今回 |
|---|---|
| すり抜けが確認されるとリロードしてもすり抜けたまま | すり抜けは初回だけでリロードで回復する |
| 他のサイトのIFRAMEもすり抜けるようになる | 他のサイトのIFRAMEはすり抜けない |
| 回復するにはFirefoxの再起動が必要 | |
| Fx 3.0.xと3.5.xで発生を確認 | Fx 3.5.xのみで発生 |
普通にカウント数が表示される
|
エラーが表示される |
まいったなぁ問題が増えてるよなぁ……逃がしちゃくれないってか(T_T)
でもなんでうちのブログだけで発生するのだろう。自動で挿入される<p>タグのせいかなぁ……。
追記2:G`nome様とmei様からご協力頂きました。ありがとうございます。m(_ _)m
| 再現した | 再現しない |
|---|---|
| Firefox 3.5.1+NoScript 1.9.6.9 Windows Vista SP2 |
Firefox 3.5.1+NoScript 1.9.6.7 Windows Vista SP2 CentOS 5.3 Windows7 RC1 Windows XP SP3 |
-追記-
カウンターの動作を表に追加。
それと、今迄の現象がおさまって今回の現象なのか、今回の現象がプラスされたのかはまだ判断つきません。なにしろ今迄のは発生率が低いので、一週間くらいは様子を見てみないと(それでも多分としか言えませんけどね)。
とか書いてたら、すっぽ抜け発生。
ということで悪化の一途をたどっていると判明しました。 orz
順序は
・カウンターを表示して「Your browser sent no Referer: header」の画像を採取
・編集画面で画像貼り付けて、このブログを表示
・すっぽ抜け発生 orz
ブログの編集と表示を行き来するのが一番発生率が高いようです。
ホワイトリストに「www.asablo.jp」「s.asablo.jp」が入っていて、ホワイトリストにない「puppet.asablo.jp」を表示するからおかしなことになるのか?
IFRAME禁止をすり抜けてカウンターが表示されるケース。
すっぽ抜けでなく、一時的にカウンターの表示を許可した場合、NoScriptのメニューに「一時的な許可を取り消す」が増えます。
だれか「とんずら」のスキル下さい。(T-T)
最近のコメント