Daftar Isi
Bantu kami menerjemahkan
Dokumen ini diterjemahkan oleh komunitas. Kamu dapat ikut berkontribusi menyempurnakan terjemahan ini melalui Crowdin. Kami sangat mengapresiasi atas kerjasama yang telah kamu berikan dengan ikut berkontribusi dalam proyek ini 🙏.
Self-XSS攻撃について
誰かに指示されてMisskeyを操作していたら、上図のような画面に遭遇してこのページに辿り着きましたか? おそらくあなたは悪意ある攻撃者に騙されています。
入力しろと指示された内容(おそらくプログラムです)を入力しない限り、指示していた攻撃者に情報が送信されることはありません。すぐに作業を中止してください。
この画面は開発者がコードの確認やバグ修正に使うための「コンソール」と呼ばれるツールで、通常の利用でこの画面を必要とすることはありません。
もう少し詳しく
Self-XSS攻撃では、攻撃者がユーザーをだまして、ブラウザの開発者ツールに悪意のあるプログラムコードを貼り付けさせます。この際、ユーザーには以下のような文句で誘導させます:
- 隠し機能や特典を開放できる
- セキュリティテストのためにこのコードを実行してみてほしい
- ウェブサイトをハッキングして不正にポイントを入手できる
このような文句に騙されてコードを実行してしまうと、攻撃者が意図した通りの操作を行うことになります。
一般的にイメージされる「サイバー攻撃」とは違い、Self-XSS攻撃はユーザーが使用する正規のアプリを通して機密データを取得するため、システム側での対策だけでなく、ユーザーが普段から注意することが重要です。