[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

221users がブックマーク コメント 17

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

パスワードマネージャへのクリックジャッキング攻撃に対して、いま私たちが出来ること

221 users zenn.dev/trustdock

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント17

  • 注目コメント
  • 新着コメント
sgo2
id:circled コレはパスマネを騙して自動入力させ、パスマネがコンテンツに差し込んで表示してるダイアログをクリックジャッキングでユーザーに操作させるという手法なので、正規サイト側の問題じゃないです

その他
theatrical
Firefoxは?と思ってソース見たら "Such a "hybrid" solution can be in manually control autofill functionality. Below are instructions for Chromium-based browsers only, I was unable to find this setting for Mozilla Firefox." とのこと

その他
pixmap
これは変な広告で適当に飛ばされるような雑なサイトでもクリック一つで、気づかずに自分のクレジットカード情報が送信されうるという話。普段使ってる正規サイトの脆弱性とかの話じゃないのに、全然伝わってなさげ。

その他
circled
「正規のサイト(ドメイン)の脆弱性(XSSやSubdomain takeover)を」→ オフィシャルサイトがサブドメイン設定やらかしてるとパスマネが正規サイトと勘違いして補完して脆弱になりやすいってのは正規の運用側の問題かと(id:sgo2)

その他
sato0427
こんな設定あったのか。助かる。/↓野良プラグインが汚染されて仕込まれたらどんなサイトにでもレイヤー表示できてしまうので正規サイト側の問題は関係ないですよ。なので使わないプラグインの削除も大事。

その他
ikebukuro3
決済画面でリロードすると不正なページ移動とかなるからな

その他
dodefeg
Autofillと狭義のパスワード自動入力でXSS等を必要とするかどうかが変わるので受け止め側に混乱がある。AutofillはXSS等を必要としない。元サイトでもケースを分けて説明されている。ただ対策しておくに越したことはない。

その他
n2sz
拡張機能は便利だけどこういうリスクもあるか...

その他
onesplat
どうすんだよこれ

その他
sato0427
sato0427 こんな設定あったのか。助かる。/↓野良プラグインが汚染されて仕込まれたらどんなサイトにでもレイヤー表示できてしまうので正規サイト側の問題は関係ないですよ。なので使わないプラグインの削除も大事。

2025年08月23日 リンク

その他
pixmap
pixmap これは変な広告で適当に飛ばされるような雑なサイトでもクリック一つで、気づかずに自分のクレジットカード情報が送信されうるという話。普段使ってる正規サイトの脆弱性とかの話じゃないのに、全然伝わってなさげ。

2025年08月23日 リンク

その他
dodefeg
dodefeg Autofillと狭義のパスワード自動入力でXSS等を必要とするかどうかが変わるので受け止め側に混乱がある。AutofillはXSS等を必要としない。元サイトでもケースを分けて説明されている。ただ対策しておくに越したことはない。

2025年08月23日 リンク

その他
kabuquery
パスワードマネージャを開いてコピーしていれば問題なさそう

その他
hiro7373
仕掛けられたサイト上でiFrameでパスワード抜きたいサイトが表示されると起こるみたいだが、CSPヘッダーやX-Frame-Optionsちゃんと設定されてたらiFeame表示できないから起こらない?機能拡張側もiFrameに対応しない設定作れば?

その他
tinsep19
最終的にはWHATWGやパスワードマネージャー業界で人間に不可視のフィールドに入力補完してはいけない。とかになるのだろうか?

その他
punychan
ブラウザ拡張じゃないブラウザ標準のパスワード保存・自動入力の場合は該当しないってこと?

その他
sgo2
sgo2 id:circled コレはパスマネを騙して自動入力させ、パスマネがコンテンツに差し込んで表示してるダイアログをクリックジャッキングでユーザーに操作させるという手法なので、正規サイト側の問題じゃないです

2025年08月23日 リンク

その他
smeg
話は違うがそもそもパスワードマネージャーの制作者が信頼できるかどうかってどうやって確かめたらいいの?

その他
diveintounlimit
あり得る話だなとは思っていた

その他
ultimatebreak
これは無理だ引っかかるわ

その他
kojikoji75
"入力補助機能があるブラウザ拡張の設定を 「ブラウザ拡張のアイコンをクリックしたときのみ有効化する」設定 にすることをお勧めします"

その他
circled
circled 「正規のサイト(ドメイン)の脆弱性(XSSやSubdomain takeover)を」→ オフィシャルサイトがサブドメイン設定やらかしてるとパスマネが正規サイトと勘違いして補完して脆弱になりやすいってのは正規の運用側の問題かと(id:sgo2)

2025年08月23日 リンク

その他
ikebukuro3
ikebukuro3 決済画面でリロードすると不正なページ移動とかなるからな

2025年08月23日 リンク

その他
theatrical
theatrical Firefoxは?と思ってソース見たら "Such a "hybrid" solution can be in manually control autofill functionality. Below are instructions for Chromium-based browsers only, I was unable to find this setting for Mozilla Firefox." とのこと

2025年08月23日 リンク

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「パスワードマネー...」が注目されています。

気持ちをシェアしよう

ツイートする

パスワードマネージャへのクリックジャッキング攻撃に対して、いま私たちが出来ること

こんにちは、TRUSTDOCKのよもぎたです。GASでSlackbot作ってるおじさん化が激しい最近の私ですが、来... こんにちは、TRUSTDOCKのよもぎたです。GASでSlackbot作ってるおじさん化が激しい最近の私ですが、来の所属は情報セキュリティ部です。たまにはそれっぽい記事も書いてみたいと思います。 概要 この記事は、こちらのツイートで話題の「1PasswordやBitwardenやiCloud等のパスワードマネージャーへのクリックジャッキング攻撃」について、いま私たちが出来ること、私が理解できたことをまとめた記事です。

ブックマークしたユーザー

  • stntaku2025年10月15日 stntaku
  • TakayukiN6272025年10月01日 TakayukiN627
  • tasukuchan2025年08月28日 tasukuchan
  • naskin2025年08月28日 naskin
  • s10900182025年08月27日 s1090018
  • phoope2025年08月26日 phoope
  • latteru2025年08月25日 latteru
  • tbjedi2025年08月24日 tbjedi
  • machupicchubeta2025年08月24日 machupicchubeta
  • sekaiiti2025年08月23日 sekaiiti
  • tokyonantoka2025年08月23日 tokyonantoka
  • produced678common2025年08月23日 produced678common
  • moonblogger2025年08月23日 moonblogger
  • citrus_ginger2025年08月23日 citrus_ginger
  • aishite7732025年08月23日 aishite773
  • n2sz2025年08月23日 n2sz
  • onesplat2025年08月23日 onesplat
  • camelia732025年08月23日 camelia73
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /