Q&A
JavaScript(CSS,HTMLも)は改ざん可能なのはご存知ですか?
今回はユーザーがテキストエリアに入力した値を処理する際に気をつけるべきことを知っておきたいので質問させて頂きます。
入力された値はサーバーへのPOSTなど行わず、フロントエンドのみで実行されるJavaScriptのプログラムを想定しています。
JavaScript
1function test() 2{ 3 const textarea = document.querySelector("textarea"); 4 textarea.addEventListener("change", check, false); 5 6 function check() 7 { 8 // テキストエリアに入力された値 9 // ここからどのような攻撃が行われるのか? 10 const t = textarea.value; 11 alert(t); 12 } 13}
テキストエリアへ値を入力するのはユーザー自身なので、POSTも行わないのであれば特段気にすることもないと考えていました。
しかしその値が他人から渡された悪意のあるコードだった場合は...?
どのような危険が想定されるか知りたいです。お時間のある方回答をお願いします。
ユーザーが開発者ツールなどで意図して変更できるのは理解しているつもりです。
サーバー側を変更せずに別クライアントの内容も改ざんできるのであれば知っておきたいです。
回答3件
0
今やログインした状態でもサービスも多いです。
ユーザーが他人から渡された悪意のあるコードを実行してしまった場合、ユーザーのブラウザに保存されているクッキーやセッションなどが抜き取られる可能性があります。なので、いわゆるなりすましのようなことが起きる危険があると考えられます。
一般的に、プログラムが実行できる環境をユーザー側に持たせておくのは危険だと考えられます。
facebookなどのサイトで、ディベロッパーツールでコンソール開くと、警告が出ているのもこういったためです。
投稿2020/05/12 16:31
総合スコア274
0
ベストアンサー
しかしその値が他人から渡された悪意のあるコードだった場合は...?
このコードの場合は、何が来てもただalertするだけなので、全く問題ありません。
投稿2020/05/12 22:26
総合スコア146063
0
どのような危険が想定されるか
DOM操作(フロント側レンダリングに相当)できる状況を与えると、いわゆる改ざん可能な状況になります。
職場によっては共用マシンとなる事例もあるでしょうし、図書館やネットカフェなど「不特定多数が使える生活環境下の端末」では、omori3 さんの指摘するリスクがあります。
ユーザー自身なので、POSTも行わないのであれば特段気にすることもない
セキュリティ問題を考えるなら、実際の生活環境は広範に考える必要があります。
【追記】上記「ネットカフェ」の場合は、端末の再起動でキャッシュ等を削除する仕組みだそうですが、「図書館」や「職場」だとどうでしょう。
本題とは関係ありませんが、コンピュータ関連の問題を考えるのに コンピュータウィルス が分かりやすい(感染経路にはスニーカーネットというのもあります)。
フロントエンドのみで実行されるJavaScriptのプログラムを想定
ポジティブに考えると「プレイグランド系サービス」のようなものが思い浮かびましたが、これらのサービスはエラーやリスクを捕捉する仕組み(HTML/CSS/JavaScript の各コードチェックする仕組み)を十分に考えて実装されたサービスだと思いますよ。
投稿2020/05/12 21:36
編集2020/05/12 21:47
総合スコア5434
あなたの回答
tips
プレビュー
