パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

The Cross Site Scripting FAQ」記事へのコメント

  • by Anonymous Coward
    XSSで引き起こされる被害というのは、大きく分けて
    • Cookieを盗まれる
    • ブラウザのセキュリティホールを突いてクライアントにいらん事される(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)

    という2種類ですよね。
    前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
    たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。

    • by kei100 (5854) on 2002年05月23日 2時46分 (#96515)
      >こうやって考えると、Webページ作成者の責任はごく限られているにも関わらず、
      >「XSS問題は全部Web作成者が責任持って解決すべきだ」とばかりに
      >フォームさえあれば<S>hoge</S>とか書いて回るヤツははっきり言ってウザい。
      >更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて
      >「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。

      それ以外にも、ページの改変を出来ます。

      昔、Officeさんが首相官邸のXSS脆弱性を利用した
      首相コメント(偽)を見れるものを公開してました・・・

      ニュース系サイトや、公的機関のWebPageとかで、ありもしない記事が、
      さも*そのサーバー上に存在しているように見える*
      と言うのは脅威にはならないのでしょうか?

      しかも、外見も文体も変わらなかった場合、やられたことには気づき難いです。

      >脆弱なのはブラウザなんだよ!!
      ブラウザはこの場合ほぼ関係ありません。
       
      親コメント
      • by jbeef (1278) on 2002年05月23日 3時53分 (#96529) 日記
        ニュース系サイトや、公的機関のWebPageとかで、ありもしない記事が、 さも*そのサーバー上に存在しているように見える* と言うのは脅威にはならないのでしょうか?
        それくらいだと、「たいしたことねえ」という声も出てくるでしょう。が、ページの改変というのは、目に見える文字列だけでなく、FORM要素のACTION属性なども改変できるわけなので、 一件、銀行のログイン画面のように見えて、口座番号と暗証番号を入れると、実は全然違うサイトに送信してしまう、という恐ろしいことが起こりえますね。office氏によって最近実例が指摘されたのもそれではなかったかな?

        ちなみに、その脅威は、2000年2月のCERT Advisory CA-2000-02 [cert.org] で既に書かれていました。(このCA-2000-02ですが、なぜかcookieの盗み出しのことが書かれてないんですよね…。)

        親コメント
        • 「一件、銀行のログイン画面のように見えて、口座番号と暗証番号を入れると、実は全然違うサイトに送信してしまう、という恐ろしいことが起こりえますね。」

          銀行などではログイン手続きの時には既にSSLが成立しているのに?というのはそれはさておき。 こんなすぐバレて、追跡し易く、かつ、きっちりと犯罪が成

          • 銀行などではログイン手続きの時には既にSSLが成立しているのに?
            SSLであろうがなかろうが関係ないですね。送信先の別サイトをSSLにもするのもよいでしょうし。

            どうにもなかなか正しく理解されないようですね…。

            親コメント
          • XSS のテクを使ってクッキーや暗証番号をどこかに送信させる行為は「きっちりと犯罪が成立する」ことなのか?
            不正アクセス禁止法には抵触しなさそう?
            その暗証番号を使えば不正アクセス禁止法違反なのは当然。
            結果的に迷惑を被れば原因を作ったものは全部偽計威力業務妨害なのかな。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...