tDiary に RSS 改竄の危険性

tDiary に RSS 改竄の危険性 6

ストーリー by yoosee 2007年07月26日 11時10分
みなさん忘れず設定を部門より

tamo 曰く、

Web 日記支援システム tDiary 2.0 系および 2.1 系には、ある設定条件で運用している場合に RSS 内の自ドメイン部分を改竄される危険性があります。作者はこれを「第三者が読者を任意のサイトに誘導できる危険性」と表現しています。公式な回避策がありますので、早急に対策しましょう。
影響を受ける設定とは、RSS を作っていて、

任意のホスト名でアクセス可能になっており、かつ

tdiary.conf で base_urlを指定していない

というものです。前者についてはウェブサーバの設定ですから、後者を正すのが最も容易で確実です。
この問題のきっかけは作者のカジュアルな注意喚起でしたが、その後、聡明なツッコミによって「脆弱性」と認識されました。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索6コメント Log In/Create an Account

- Re:カジュアルなツッコミ (スコア:2, すばらしい洞察)
  
  by Anonymous Coward on 2007年07月26日 14時29分 (#1196274)
  
  思わなかったね。
  作者が書いた時点では脆弱性という認識がなかったのに対し、
  ツッコミを書いた人の認識では脆弱性というものだったわけで。
  
  シェア
  
  親コメント
- - Re:カジュアルなツッコミ (スコア:1)
    
    by tadatadashi (13162) on 2007年07月26日 18時38分 (#1196476) ホームページ
    
    人間性に問題のないプログラマなんていません!
    
    #フレームのもとです、すみません。
    
    --
    ただただし
    
    シェア
    
    親コメント
    - Re:カジュアルなツッコミ (スコア:0)
      
      by Anonymous Coward
      
      元ACですが、
      人間性とソフトウェアの品質を保つための力は
      あんまり関係ないだろ、って言いたかったんですが、
      言葉が足らず、モデレータには荒しと判断されたようです。
      作者さん直々にどうもです。
    - Re:カジュアルなツッコミ (スコア:0)
      
      by Anonymous Coward
      
      ＞人間性に問題のないプログラマなんていません!
      
      すべてのプログラマには人間性に問題がないなら、人間はプログラマを目指すべきですからね。
      問題がある人間がプログラマもやるから、人間性が問題なプログラマが出来るわけで。
      しかも、その人間性の良し悪しは国や性別、職権などのスコープで動的に変化してしまう。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

tDiary に RSS 改竄の危険性 6

tDiary に RSS 改竄の危険性 More ログイン

Re:カジュアルなツッコミ (スコア:2, すばらしい洞察)

Re:カジュアルなツッコミ (スコア:1)

Re:カジュアルなツッコミ (スコア:0)

Re:カジュアルなツッコミ (スコア:0)

スラド