NoScriptの杞憂 ― 2010/04/18 05:57
NoScriptのWhitelistにないサイトのスクリプトが動く件について、alice様が確認して下さいました。ありがとうございます。m(_ _)m
NoScript ブックマークレットがすり抜ける? - alice0775のファイル置き場
バグではないと一安心したところで、ブックマークレットが何か分からない人や、使わない人は「noscript.allowBookmarkletImports」を「false」にするのをおすすめします。
裏を返せばデフォルトだとロケーションバー経由でNoScriptを迂回できる訳で、願わくば悪用するような奴が現れませんように。(-人-)
※JavaScriptが実行されることは脆弱性ではありません。念のため。
あとどうでもいいことですが、Firefoxをアンインストールして、Program Files\Mozilla Firefoxを削除して、%APPDATA%\..\Local\Mozilla\Firefoxを削除して、prefs.jsからよく分からなかった「user_pref("noscript.bookmarklets.import", 1);」を削除して、Firefoxを再インストールしたら、NoScript 1.9.9.57ならすり抜けなくなりました。
NoScript 1.9.9.61/1.9.9.63はそれでもすり抜けますので、利便性のためにブロックのレベルを下げる方向で調整されているのだろうと邪推してます。
ところで、plalaとかgeocitiesはサイト毎にドメインが分けられてないから、Whitelistに登録するわけもいかなくて、なんとかならないですかねぇ。
-追記-
NoScript 1.9.9.69だとブロックされるようになりました……実は想定外(バグ)だったんじゃないの?
NoScript ブックマークレットがすり抜ける? - alice0775のファイル置き場
noscript.allowBookmarkletImports をfalseにすればいいらしい。
InformAction Forums . View topic - JavaScript is not blocked on untrusted site( http://forums.informaction.com/viewtopic.php?f=7&t=4219&p=17606#p17593 )
注意:NoScript 1.9.9.61~69で「noscript.allowBookmarkletImports」は「true」にして下さい。
「false」だと勝手にドメインがWhitelistに追加される恐れがあります。
「false」だと勝手にドメインがWhitelistに追加される恐れがあります。
裏を返せばデフォルトだとロケーションバー経由でNoScriptを迂回できる訳で、願わくば悪用するような奴が現れませんように。(-人-)
※JavaScriptが実行されることは脆弱性ではありません。念のため。
あとどうでもいいことですが、Firefoxをアンインストールして、Program Files\Mozilla Firefoxを削除して、%APPDATA%\..\Local\Mozilla\Firefoxを削除して、prefs.jsからよく分からなかった「user_pref("noscript.bookmarklets.import", 1);」を削除して、Firefoxを再インストールしたら、NoScript 1.9.9.57ならすり抜けなくなりました。
NoScript 1.9.9.61/1.9.9.63はそれでもすり抜けますので、利便性のためにブロックのレベルを下げる方向で調整されているのだろうと邪推してます。
ところで、plalaとかgeocitiesはサイト毎にドメインが分けられてないから、Whitelistに登録するわけもいかなくて、なんとかならないですかねぇ。
-追記-
NoScript 1.9.9.69だとブロックされるようになりました……実は想定外(バグ)だったんじゃないの?
コメント
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2010/04/18/5026363/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。