アカウント名:
パスワード:
頑張って考えてみたが、
・外部との通信をしないと約束する代わりに端末の機密情報にアクセスできるアプリA・外部との通信を行うが端末の機密情報にアクセスできないありふれたアプリB
を悪魔合体させて(別個にインストールさせて)情報を抜き取って外部に送信するアプリを作るみたいな方法しか思い付かない。賢い人はもっとやばいことをいくらでも思い付くのだろうが。
>・外部との通信を行うが端末の機密情報にアクセスできないありふれたアプリB
SafariでいいんじゃないですかJavaScriptでこの攻撃が可能だったらですけど
JavaScriptでこの攻撃が可能だったらですけど
だったらもっと問題になっとるw
Can this be exploited from Javascript on a website?
No.
英語が読めないのだとしても、昨今は翻訳ツールもかなり優秀なんだけどねそれすら面倒なんだろうか
DeepLは適度に改行しないと省略したり合成するクソだしみらい翻訳は語尾がぐちゃぐちゃで統一感がないGoogle翻訳はいつも通り
どこが優秀なんだ?20年ほど何も成長できてないぞこの業界
「20年ほど成長出来てない」とかはさすがにないわ。今の機械翻訳が人間のプロ並だとはとても言えないけど、20年前に比べりゃ月とスッポンだよ。数年前までは機械翻訳なんて笑いを取るくらいの役にしか立たなかったけど、最近は文章の中身によっては機械翻訳を通してから添削する方が時間の節約になる。結構手作業は必要だけど、それでも1から日本語として不自然じゃない文章を考えるよりはマシ。
プロの翻訳家でも、機械翻訳に1回かけてから修正ってのが業務フローになっちゃうぐらい使えてます。特許調査なんかも機械翻訳かけて横断的に検索するのが当たり前。そういう再販業務向けの料金プランが用意されるぐらいには普及してます。
#4041846 の周りは20年前から時間が止まってるということかな。
もしくはあなたたちが20年遅れてやっといい機械翻訳を手に入れられたのかも。
どう説明しても伝わらないかもしれないけど。品質の問題じゃなくて、低賃金のバイトじゃなくその道のプロも実際に機械翻訳使ってるんですよ。もちろん機械翻訳そのまま出したりしない。
単純にキーボード叩いて自分で入力するより、機械翻訳をベースに使ったほうが速いから使うようになった。まともな仕事する人なら機械翻訳は補助であって、その後に人間が修正する。昔は、機械翻訳を修正するコスト > 自分で入力するコスト、だから使わなかった。今は、機械翻訳を修正するコスト < 自分で入力するコスト、だから使うようになった。
品質は機械翻訳使う使わないは関係なくて
それこそがマズいんだと思うけど。
・カメラとマイクへのアクセスだけを求める動画面白加工アプリ・広告を表示するためインターネット接続だけを求めるゲームアプリ
があって、どちらも大した悪さはできなさそうだから、OKかな、とインストールしてしまうと、カメラとマイクとインターネットを同時に使われて、盗撮盗聴やりたい放題されるとか。
まあ、カメラとマイクへのアクセスを求める信用できない制作者のアプリなんか入れるな、って話だけど。面白動画加工アプリなら、結果をストレージに書き込むからその許可も求めるだろうし。そうすると、ストレージ+インターネットアクセスを求めるあらゆるアプリが相方になり得るし。
ついでに、ソースのウェブページを読んでみると、この脆弱性が大した問題にはならないのは、そもそもそういう悪魔合体のさせ方は無数に知られてるので1個増えても大したことは無いからだ、みたいに書いてあるように見える。
とはいえAppStoreの審査段階で検出するのは難しくないんじゃないかmacOSなら元からIPCとか使えるしな
いや、基本は悪魔合体しか無いんじゃないかなあ。あとは応用として、通信関係のライブラリにこそっと本脆弱性を利用するためのコードを忍ばせることで善意の「ありふれたアプリB」を増やしたうえで、悪意のアプリAを配布するとか。#ちょっと嫌かも
濫用されるおそれ()はあるかもね。発見者いわく
Wait. Oh no. Some game developer somewhere is going to try to use this as a synchronization primitive, aren't they. Please don't. The world has enough cursed code already. Don't do it. Stop it. Noooooooooooooooo
笑っちゃったよ。
Noooooooooooooooo
ここ全部同じ大きさに見えるけど、元サイトではoが少しずつ小さくなっている芸コマっぷりで、同じく笑っちゃった。
spanタグを入れ子にすることでそんな表現できるんだね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
悪用のしどころが分からない (スコア:0)
頑張って考えてみたが、
・外部との通信をしないと約束する代わりに端末の機密情報にアクセスできるアプリA
・外部との通信を行うが端末の機密情報にアクセスできないありふれたアプリB
を悪魔合体させて(別個にインストールさせて)情報を抜き取って外部に送信するアプリを作るみたいな方法しか思い付かない。
賢い人はもっとやばいことをいくらでも思い付くのだろうが。
Re: (スコア:0)
>・外部との通信を行うが端末の機密情報にアクセスできないありふれたアプリB
Safariでいいんじゃないですか
JavaScriptでこの攻撃が可能だったらですけど
Re: (スコア:0)
JavaScriptでこの攻撃が可能だったらですけど
だったらもっと問題になっとるw
スラド民は一時情報に当たらない (スコア:0)
Can this be exploited from Javascript on a website?
No.
Re: (スコア:0)
英語が読めないのだとしても、昨今は翻訳ツールもかなり優秀なんだけどね
それすら面倒なんだろうか
Re: (スコア:0)
DeepLは適度に改行しないと省略したり合成するクソだし
みらい翻訳は語尾がぐちゃぐちゃで統一感がない
Google翻訳はいつも通り
どこが優秀なんだ?
20年ほど何も成長できてないぞこの業界
Re: (スコア:0)
「20年ほど成長出来てない」とかはさすがにないわ。今の機械翻訳が人間のプロ並だとはとても言えないけど、20年前に比べりゃ月とスッポンだよ。
数年前までは機械翻訳なんて笑いを取るくらいの役にしか立たなかったけど、最近は文章の中身によっては機械翻訳を通してから添削する方が時間の節約になる。結構手作業は必要だけど、それでも1から日本語として不自然じゃない文章を考えるよりはマシ。
Re: (スコア:0)
プロの翻訳家でも、機械翻訳に1回かけてから修正ってのが業務フローになっちゃうぐらい使えてます。
特許調査なんかも機械翻訳かけて横断的に検索するのが当たり前。
そういう再販業務向けの料金プランが用意されるぐらいには普及してます。
#4041846 の周りは20年前から時間が止まってるということかな。
Re: (スコア:0)
もしくはあなたたちが20年遅れてやっといい機械翻訳を手に入れられたのかも。
Re: (スコア:0)
どう説明しても伝わらないかもしれないけど。
品質の問題じゃなくて、低賃金のバイトじゃなくその道のプロも実際に機械翻訳使ってるんですよ。
もちろん機械翻訳そのまま出したりしない。
単純にキーボード叩いて自分で入力するより、機械翻訳をベースに使ったほうが速いから使うようになった。
まともな仕事する人なら機械翻訳は補助であって、その後に人間が修正する。
昔は、機械翻訳を修正するコスト > 自分で入力するコスト、だから使わなかった。
今は、機械翻訳を修正するコスト < 自分で入力するコスト、だから使うようになった。
品質は機械翻訳使う使わないは関係なくて
Re: (スコア:0)
それこそがマズいんだと思うけど。
・カメラとマイクへのアクセスだけを求める動画面白加工アプリ
・広告を表示するためインターネット接続だけを求めるゲームアプリ
があって、どちらも大した悪さはできなさそうだから、OKかな、とインストールしてしまうと、カメラとマイクとインターネットを同時に使われて、盗撮盗聴やりたい放題されるとか。
まあ、カメラとマイクへのアクセスを求める信用できない制作者のアプリなんか入れるな、って話だけど。面白動画加工アプリなら、結果をストレージに書き込むからその許可も求めるだろうし。そうすると、ストレージ+インターネットアクセスを求めるあらゆるアプリが相方になり得るし。
ついでに、ソースのウェブページを読んでみると、この脆弱性が大した問題にはならないのは、そもそもそういう悪魔合体のさせ方は無数に知られてるので1個増えても大したことは無いからだ、みたいに書いてあるように見える。
Re: (スコア:0)
とはいえAppStoreの審査段階で検出するのは難しくないんじゃないか
macOSなら元からIPCとか使えるしな
Re: (スコア:0)
いや、基本は悪魔合体しか無いんじゃないかなあ。
あとは応用として、通信関係のライブラリにこそっと本脆弱性を利用するためのコードを忍ばせることで善意の「ありふれたアプリB」を増やしたうえで、悪意のアプリAを配布するとか。
#ちょっと嫌かも
Re: (スコア:0)
濫用されるおそれ()はあるかもね。発見者いわく
Wait. Oh no. Some game developer somewhere is going to try to use this as a synchronization primitive, aren't they. Please don't. The world has enough cursed code already. Don't do it. Stop it. Noooooooooooooooo
笑っちゃったよ。
Re: (スコア:0)
Noooooooooooooooo
ここ全部同じ大きさに見えるけど、元サイトではoが少しずつ小さくなっている芸コマっぷりで、同じく笑っちゃった。
spanタグを入れ子にすることでそんな表現できるんだね。