NoScript単体でIFRAME禁止のすり抜けを確認 その3 ― 2009/07/24 22:57
前回、G`nome様の所で確認された「IFRAME禁止のすり抜けが再現しない」がOS環境依存(PFWやAVの影響とか)か確認するためVirtual PC 2007 SP1を導入してみました。
ただ、そのままOSをインストールするとライセンス違反になる上、「再現する環境」を再構築してしまう可能性があるので、OSはIE8をテストするためにMSが配布しているVPCイメージを使うことにしました。
イメージは英語版なので、East Asia Languageをインストールしましたが、CD-ROMを使っても一筋縄でいかなかったので、某掲示板からコピペ。
それで結果ですが、IFRAME禁止のすり抜けを確認しました。 orz
一体なにが違うのだろう……
環境
・Windows XP SP3(IE8-XPSP3)
・Firefox 3.5.1
・NoScript 1.9.6.7、1.9.6.9
手順
クリックで全体像
さてどうしたもんだか……('A`)
おかげで、スッピンから通常状態(アドオン15個)までのセッティングが15分でできるようになりました。そんなスキル、ぜんぜんうれしくないです。
-追記-
2009.07.25 SAT - UnderForge of Lack
いやぁぁぁ~再現しないってのが最後の希望だったのにー orz
さてどうやって伝えようか……
どなたか、私に代わって作者に伝えてくれる方募集。
他力本願って言わないでw
ちょっと時間かかりそうなんで…… orz
ただ、そのままOSをインストールするとライセンス違反になる上、「再現する環境」を再構築してしまう可能性があるので、OSはIE8をテストするためにMSが配布しているVPCイメージを使うことにしました。
イメージは英語版なので、East Asia Languageをインストールしましたが、CD-ROMを使っても一筋縄でいかなかったので、某掲示板からコピペ。
- 100 名前:名無し~3.EXE[sage] 投稿日:2006/12/12(火) 10:25:18 ID:kfFAZAk+
それで結果ですが、IFRAME禁止のすり抜けを確認しました。 orz
一体なにが違うのだろう……
環境
・Windows XP SP3(IE8-XPSP3)
・Firefox 3.5.1
・NoScript 1.9.6.7、1.9.6.9
手順
- NoScriptで<IFRAME>の禁止にチェックを入れて[OK]ボタンを押す
- ツール→オプション→プライバシー→「記憶させる履歴を詳細設定する」→「Firefox終了時に履歴を消去する」にチェック(デフォルトならこれでキャッシュも消えます)
- Firefoxを終了する
- このブログを表示する(http://puppet.asablo.jp/blog/)
さてどうしたもんだか……('A`)
おかげで、スッピンから通常状態(アドオン15個)までのセッティングが15分でできるようになりました。そんなスキル、ぜんぜんうれしくないです。
__ /{ __
/⌒Y V´ ∠_ げ お
/ /⌒\ /⌒ヽ. ん ち
_ノ ′ _Y/_ \_ き こ
. `ア V ,∠ ニ==ミ }ノ<´ と ん
. / / `ヽ ヽ も だ
{ / ヽ } い り
、_ノ ,′// /{ ハ ハ ハ { い も
`T l |/ ハ { }/ | |}` が し
. ヽ.| | 二.._\{ _..二| l/ た な
八 `T弋_フ 弋_フ j /{ い い
_/ヽ{` ノイ>―- 、 ° し
/ ,二`>-へ二、 -<´ ヽ
ヽ、 く/_ \ \>J) ノ
二二二二二,二二二二二二二二二二二二二二二
/ ,.へ ヽ
| ̄| | ̄| | ̄| | ̄| | ̄| | ̄| | ̄| | ̄| | ̄| | ̄| | ̄| |
-追記-
2009.07.25 SAT - UnderForge of Lack
Firefox 3.5.1 NoScript 1.9.6.9
Windows Vista SP2
Windows 7 RC1 (VMware Workstation - Guest)
CentOS 5.3 (VMware WorkStation - Guest)
で見事にすり抜けました。
これはマズい・・・
いやぁぁぁ~再現しないってのが最後の希望だったのにー orz
さてどうやって伝えようか……
どなたか、私に代わって作者に伝えてくれる方募集。
他力本願って言わないでw
ちょっと時間かかりそうなんで…… orz
コメント
_ yu ― 2009/07/25 12:36
_ MM ― 2009/07/25 18:23
手順通りやってみましたが・・・
うちのは問題無くブロックしています(汗
XP HOME SP3
セキュリティ:avast!・PC Tools・SpywareBlaster・Returnil Virtual System
ブラウザ:Firefox3.0.12
アドオン:NoScript、Adblock Plus、Redirect Remover
WOT、Targeted Advertising Cookie Opt-Out、RefControl
DNS Prefetch、Configuration Mania、Fission、SQLite Optimizer
Video DownloadHelper、GoogleToolbar、More Tools Menu
Organize Status Bar、Extended Statusbar
※アドオンは全て3.0.系対応の最新版です。
IFRAMEを許可すると、カウンターが表示されず
Host:"cgi.www.ne.jp" is not in the auth block ofthe conf file
と表示されました・・・(謎
「ど」が付くほどのシロウトですが、ご報告でした(逃
うちのは問題無くブロックしています(汗
XP HOME SP3
セキュリティ:avast!・PC Tools・SpywareBlaster・Returnil Virtual System
ブラウザ:Firefox3.0.12
アドオン:NoScript、Adblock Plus、Redirect Remover
WOT、Targeted Advertising Cookie Opt-Out、RefControl
DNS Prefetch、Configuration Mania、Fission、SQLite Optimizer
Video DownloadHelper、GoogleToolbar、More Tools Menu
Organize Status Bar、Extended Statusbar
※アドオンは全て3.0.系対応の最新版です。
IFRAMEを許可すると、カウンターが表示されず
Host:"cgi.www.ne.jp" is not in the auth block ofthe conf file
と表示されました・・・(謎
「ど」が付くほどのシロウトですが、ご報告でした(逃
_ puppet ― 2009/07/25 20:33
MM様、確認ありがとうございます。
ただ、この手順でのすり抜けは、Fx 3.0.x系で発生しないのは前回確認しております。
http://puppet.asablo.jp/blog/2009/07/22/4449854
むしろ、すり抜けたままになる(カウンターが表示される)
発生手順(Fx 3.0.x、3.5.xの両方)を探しているところです。
発生がレアすぎて(最長で3日かかりました)、こちらは
よく分かっていません。
ただ、この手順でのすり抜けは、Fx 3.0.x系で発生しないのは前回確認しております。
http://puppet.asablo.jp/blog/2009/07/22/4449854
むしろ、すり抜けたままになる(カウンターが表示される)
発生手順(Fx 3.0.x、3.5.xの両方)を探しているところです。
発生がレアすぎて(最長で3日かかりました)、こちらは
よく分かっていません。
_ puppet ― 2009/07/25 21:17
yu様、遅くなりましてすいません。
確認してみました。
.comment-form form p br,.mod-message h2,.mod-message p{display:none;}
.tb-url code,.usr-message h2,.usr-message p{display:block;}
から私のカスタマイズした部分を取り除いて
.comment-form form p br{display:none;}
.tb-url code{display:block;}
とした上で
<div class="usr-message">と</div>の囲みを止めた上で再現テストしました。
結果は残念な事にすり抜けます。
もっともCSSがどうであれ、ブロックしてるつもりがすり抜けてるというのが問題なので、
作者になんとか伝えないとと思っています。
それと余談になりますが、この面倒なCSSは、このブログの仕様上、右に表示されている追加メッセージーのタイトルが消せないくて小細工したものです。
それに関する馬鹿の軌跡↓
メッセージツールにidを設定して欲しい
http://puppet.asablo.jp/blog/2008/11/17/3941871
確認してみました。
.comment-form form p br,.mod-message h2,.mod-message p{display:none;}
.tb-url code,.usr-message h2,.usr-message p{display:block;}
から私のカスタマイズした部分を取り除いて
.comment-form form p br{display:none;}
.tb-url code{display:block;}
とした上で
<div class="usr-message">と</div>の囲みを止めた上で再現テストしました。
結果は残念な事にすり抜けます。
もっともCSSがどうであれ、ブロックしてるつもりがすり抜けてるというのが問題なので、
作者になんとか伝えないとと思っています。
それと余談になりますが、この面倒なCSSは、このブログの仕様上、右に表示されている追加メッセージーのタイトルが消せないくて小細工したものです。
それに関する馬鹿の軌跡↓
メッセージツールにidを設定して欲しい
http://puppet.asablo.jp/blog/2008/11/17/3941871
_ Wiz ― 2009/07/26 02:59
abut:configでもNoScriptの設定を少し弄ったりしてみたのですが、私のメインの環境(Shiretoko/3.5.2pre)では、初回はIFRAMが表示されちゃいますね。
Firefox3.51およびGranParadiso/3.0.13preでも、そうでした。
※リロード後は「ブロックしたオブジェクト」になりますが…。
ただ、なんとなく残しておいたBonEcho/2.0.0.22preでは、再現せず、IFRAMはブロックされました。
そのBonEchoでのNoScriptのバージョンは、最初は暫くアップデートしていなくて1.9.6.5で再現しなかったのですが、1.9.7にアップデート後も、IFRAMは表示されませんでした。
単純にFirefoxのバージョンの相違、なのか、それともBonEcho/2.0.0.22preのほうは、履歴は一切記録していなくて、NoScriptのWhitelistもGoogl.comやMoziiila.comなど2つ程度でした(他のバージョンは、履歴は一週間程は記録していますし、NoScriptのWhitelistにも10~20くらいは設定されています。)
NoScriptとFirefoxのバージョンの相性なのか、Firefox3以降の何らかのBugなのか、私もなんだかよくわかりませんが。
一応、古いバージョンのFirefoxと新しいバージョンのNoScriptの組み合わせでは、こちらのブログのIFRAMはブロックされた、というご報告でした。
Firefox3.51およびGranParadiso/3.0.13preでも、そうでした。
※リロード後は「ブロックしたオブジェクト」になりますが…。
ただ、なんとなく残しておいたBonEcho/2.0.0.22preでは、再現せず、IFRAMはブロックされました。
そのBonEchoでのNoScriptのバージョンは、最初は暫くアップデートしていなくて1.9.6.5で再現しなかったのですが、1.9.7にアップデート後も、IFRAMは表示されませんでした。
単純にFirefoxのバージョンの相違、なのか、それともBonEcho/2.0.0.22preのほうは、履歴は一切記録していなくて、NoScriptのWhitelistもGoogl.comやMoziiila.comなど2つ程度でした(他のバージョンは、履歴は一週間程は記録していますし、NoScriptのWhitelistにも10~20くらいは設定されています。)
NoScriptとFirefoxのバージョンの相性なのか、Firefox3以降の何らかのBugなのか、私もなんだかよくわかりませんが。
一応、古いバージョンのFirefoxと新しいバージョンのNoScriptの組み合わせでは、こちらのブログのIFRAMはブロックされた、というご報告でした。
_ puppet ― 2009/07/26 03:17
Wiz様、ご確認ありがとうございます。
Fx 2系は未テストでした。
リロードしてブロックされるケースのすり抜けは、Fx 3.6.x、3.5.xで確認されています。(Fx 3.0.xでは発生してない)
リロードしてブロックされないケースは、私しか発生できてないですが、Fx 3系全てで見られます。
FxのバージョンとNoScriptの相性の問題はあると思います。
特に3.5.1はまだまだバギーです。
Fx 2系は未テストでした。
リロードしてブロックされるケースのすり抜けは、Fx 3.6.x、3.5.xで確認されています。(Fx 3.0.xでは発生してない)
リロードしてブロックされないケースは、私しか発生できてないですが、Fx 3系全てで見られます。
FxのバージョンとNoScriptの相性の問題はあると思います。
特に3.5.1はまだまだバギーです。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2009/07/24/4456143/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
今回お悩みの件は
ttp://puppet.asablo.jp/blog/css の一番下の行にある記述
.tb-url code,.usr-message h2,.usr-message p{display:block;}
のせいではないでしょうか?
このiflameを囲むdiv class=usr-message(とdisplay:block)のせいではないかなと思っています