アカウント名:
パスワード:
ユーザがフラッシュをアップロードできて、かつサーバ管理者がそのフラッシュが機能するように object タグやら embed タグやらを付けて表示するようにしてると危険ってことでしょ?
Flash が危険なのか、サーバ管理者が危険なのか。
対策と
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
もうここまでくるとよくわからん (スコア:0)
ユーザがフラッシュをアップロードできて、かつサーバ管理者がそのフラッシュが機能するように object タグやら embed タグやらを付けて表示するようにしてると危険ってことでしょ?
Flash が危険なのか、サーバ管理者が危険なのか。
対策と
そもそもXSSを「脆弱性」とするのがヘン (スコア:0)
正しくWebアプリケーションを組んで運用していれば、Cookieを盗まれようがJavaScriptを実行されようが何も問題が起きないのに、粋がってXSS話が飛び交うここ半年(とくにここ数カ月)に凄く違和感を感じています。
Re:そもそもXSSを「脆弱性」とするのがヘン (スコア:0)
Re:そもそもXSSを「脆弱性」とするのがヘン (スコア:0)
で、盗まれた際の被害を防ぐにはどうすれば良いのかを考えるべき。
Re:そもそもXSSを「脆弱性」とするのがヘン (スコア:1)
セッション管理を行うことは、URL が referer その他の
比較的容易な方法で外部から獲得できることから、「そんな
ところに書くのが悪い、URL は公開情報と考えろ」と
いわれたものです。
Cookie も同じだというなら、現在の HTTP ではもう
Re:そもそもXSSを「脆弱性」とするのがヘン (スコア:1)
> ョン管理のすべがありません。
おっと、BASIC認証を忘れてた。これなら今のところ安全ですね。
で、そうしてるのかな?