tDiary に RSS 改竄の危険性 6
ストーリー by yoosee
みなさん忘れず設定を 部門より
みなさん忘れず設定を 部門より
tamo 曰く、
Web 日記支援システム tDiary 2.0 系および 2.1 系には、ある設定条件で運用している場合に RSS 内の自ドメイン部分を改竄される危険性があります。 作者はこれを「第三者が読者を任意のサイトに誘導できる危険性」と表現しています。 公式な回避策がありますので、早急に対策しましょう。
影響を受ける設定とは、RSS を作っていて、というものです。前者についてはウェブサーバの設定ですから、後者を正すのが最も容易で確実です。
- 任意のホスト名でアクセス可能になっており、かつ
- tdiary.conf で base_urlを指定していない
この問題のきっかけは作者のカジュアルな注意喚起でしたが、 その後、聡明なツッコミによって「脆弱性」と認識されました。
Re:カジュアルなツッコミ (スコア:2, すばらしい洞察)
作者が書いた時点では脆弱性という認識がなかったのに対し、
ツッコミを書いた人の認識では脆弱性というものだったわけで。
Re:カジュアルなツッコミ (スコア:1)
#フレームのもとです、すみません。
ただただし
Re:カジュアルなツッコミ (スコア:0)
人間性とソフトウェアの品質を保つための力は
あんまり関係ないだろ、って言いたかったんですが、
言葉が足らず、モデレータには荒しと判断されたようです。
作者さん直々にどうもです。
Re:カジュアルなツッコミ (スコア:0)
すべてのプログラマには人間性に問題がないなら、人間はプログラマを目指すべきですからね。
問題がある人間がプログラマもやるから、人間性が問題なプログラマが出来るわけで。
しかも、その人間性の良し悪しは国や性別、職権などのスコープで動的に変化してしまう。