アカウント名:
パスワード:
ガキもバカだが
JavaScriptで書かれており、iOSのバグを悪用して911に繰り返し(ワン切り)発信をするもの
これバグっていうか重大な脆弱性だよな、なんでこんなの残してるんだよ……
# ブラウザ側から電話機能を起動するところまではいいとしても、ワン切り・繰り返しするってことはその後も制御できてるんだろ# Webサイト側から電話機能のコントロールとかできると、それこそ一昔前のダイアルQ2事案みたいのも含めて悪さし放題じゃん
> ブラウザ側から電話機能を起動するところまではいいとしても、ワン切り・繰り返しするってことはその後も制御できてるんだろ
どっちかと言うと「制御が出来ない事を利用してる」感じです。つまり、電話番号リンクを置いたページをopenするなどして、そこをタップさせると電話機能が起動しますが、起動と同時にiPhoneの「簡単、便利な機能」にて勝手にそのまま発信がされ、そしてその状態で元のページをwindow.close()すると、電話機能がアンフォーカスされて途切れます。それを繰り返している。いつも想うことだけど、Appleは基本的に浅はかなんだと思う。
アイフォーンは発信許可を求めてくる。ユーザーが拒否してくれば発信できない。
その機能が正常に作動してたらこんな問題発生しません
そんな答えを間違えなかったら100点だったみたいな文句を言われてもどうしようもないと思うよ。なんでかと言われたら気が付かなかったからとしか言いようがない。
それならJavascript禁止するしかないね!
Twitterとかwebから見てるとJavascriptうっとうしいから禁止してほしいとまじ思うな
Android(Chrome)にしてもiOS(Safari)にしても、「JavaScriptのオンオフ」しかないんだよなホワイトリスト形式で許可したサイトだけJavaScriptを使わせる設定があれば割とこの手の事案は軽減できそうなものだが
# そのリストをどう用意するかってのは兎も角として
ホワイトリスト形式で許可したサイトだけJavaScriptを使わせる設定があれば割とこの手の事案は軽減できそうなものだが
比較的新しいバージョンの Android 版 Chrome であれば、許可したドメイン名のみでJavaScriptを有効にできます(v53.0.2785.124で確認)。設定が奥の方に隠れてて分かりにくいですが、「詳細設定」→「サイトの設定」→「JavaScript」→「サイト に JavaScript の実行を許可する (推奨)」を解除→「+サイトの例外を追加」をタップ→ドメイン名等を入力 からできます。
なお、Android版では、指定した特定のドメインにおけるJavaScriptのみを禁止することはできないので、pagead2.googlesyndication.com をブロックして AdSense 広告を非表示にするけど、リスト外のサイトのJavaScript実行は許可するといった使い方はできません。
気づいてないからでしょ。ゼロデイ攻撃。
バグでしょ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
ガキもバカだが (スコア:0)
ガキもバカだが
これバグっていうか重大な脆弱性だよな、なんでこんなの残してるんだよ……
# ブラウザ側から電話機能を起動するところまではいいとしても、ワン切り・繰り返しするってことはその後も制御できてるんだろ
# Webサイト側から電話機能のコントロールとかできると、それこそ一昔前のダイアルQ2事案みたいのも含めて悪さし放題じゃん
Re:ガキもバカだが (スコア:2, 興味深い)
> ブラウザ側から電話機能を起動するところまではいいとしても、ワン切り・繰り返しするってことはその後も制御できてるんだろ
どっちかと言うと「制御が出来ない事を利用してる」感じです。つまり、電話番号リンクを置いたページをopenするなどして、そこをタップさせると電話機能が起動しますが、
起動と同時にiPhoneの「簡単、便利な機能」にて勝手にそのまま発信がされ、そしてその状態で元のページをwindow.close()すると、電話機能がアンフォーカスされて途切れます。それを繰り返している。
いつも想うことだけど、Appleは基本的に浅はかなんだと思う。
Re: (スコア:0)
アイフォーンは発信許可を求めてくる。ユーザーが拒否してくれば発信できない。
Re: (スコア:0)
その機能が正常に作動してたらこんな問題発生しません
Re:ガキもバカだが (スコア:2)
そんな答えを間違えなかったら100点だったみたいな文句を言われてもどうしようもないと思うよ。
なんでかと言われたら気が付かなかったからとしか言いようがない。
Re:ガキもバカだが (スコア:1)
それならJavascript禁止するしかないね!
Re: (スコア:0)
Twitterとかwebから見てるとJavascriptうっとうしいから禁止してほしいとまじ思うな
Re: (スコア:0)
Android(Chrome)にしてもiOS(Safari)にしても、「JavaScriptのオンオフ」しかないんだよな
ホワイトリスト形式で許可したサイトだけJavaScriptを使わせる設定があれば割とこの手の事案は軽減できそうなものだが
# そのリストをどう用意するかってのは兎も角として
Chrome (Android) はできます (スコア:5, 参考になる)
比較的新しいバージョンの Android 版 Chrome であれば、許可したドメイン名のみでJavaScriptを有効にできます(v53.0.2785.124で確認)。設定が奥の方に隠れてて分かりにくいですが、「詳細設定」→「サイトの設定」→「JavaScript」→「サイト に JavaScript の実行を許可する (推奨)」を解除→「+サイトの例外を追加」をタップ→ドメイン名等を入力 からできます。
なお、Android版では、指定した特定のドメインにおけるJavaScriptのみを禁止することはできないので、pagead2.googlesyndication.com をブロックして AdSense 広告を非表示にするけど、リスト外のサイトのJavaScript実行は許可するといった使い方はできません。
Re: (スコア:0)
気づいてないからでしょ。
ゼロデイ攻撃。
Re: (スコア:0)
ガキもバカだが
これバグっていうか重大な脆弱性だよな、なんでこんなの残してるんだよ……
バグでしょ?