アカウント名:
パスワード:
セキュmemo [ryukoku.ac.jp]で知ったのですが、関係者?がこんなと言ってるんですね。
投稿者: GIJOE 投稿日時: 2006-08-01 06:13:28 (1177 ヒット) これ、実際に経験してみれば判ることですが、ほとんど成功しない攻撃です。しかも、 session.use_only_cookies 1 は推奨設定です。 こんなのを今さら「XOOPSの脆弱性」として連絡してくるあたり、JPCERTという組織のレベルの低さを証明しているわけですが、ちゃんと対応するコアチームは素直に偉いと思います。
というわけで、急いで2.0.16-JPにアップデートする必要はありません。元々がおかしな報告だったのですから、session.use_only_cookies 1 であることを確認した上で、2.0.15-JPのまま運用するのが良いでしょう。
; This option enables administrators to make their users invulnerable to ; attacks which involve passing session ids in URLs; defaults to 0. ; session.use_only_cookies = 1
違いますよ。session.use_only_cookies=1 にしても脆弱です。 ウェブブラウザは何使ってますか?
タレコミのIPAの資料 [ipa.go.jp]の脚注に書かれている通りです。
ウェブアプリケーション側で対処しない場合は、「Cookie Monster」と呼ばれるドメインをまたがったCookie のセットができてしまう問題を抱えたブラウザ(Mozilla、Firefox などが該当)をそのウェブアプリケーションの ログインに使用しないようにする必要があります。また、加えて、ウェブアプリケーションサーバ製品に「セッシ ョンID の固定化」の脆弱性がある場合には、パッチを適用するか、設定で回避する必要があります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
XOOPSはやばい (スコア:1, 興味深い)
そういのは使わないほうがよさそうです。
セキュmemo [ryukoku.ac.jp]で知ったのですが、関係者?がこんなと言ってるんですね。
レベルが低いのはお前だろ! こんな人たちの製品は危なくて使えません。Re:XOOPSはやばい (スコア:1, 参考になる)
Re:XOOPSはやばい (スコア:1, 参考になる)
違いますよ。session.use_only_cookies=1 にしても脆弱です。
ウェブブラウザは何使ってますか?
タレコミのIPAの資料 [ipa.go.jp]の脚注に書かれている通りです。
これらは or ではなくて、and ですね。Re:XOOPSはやばい (スコア:0)
そして、それぞれが、何かのミスによる物でもない。
相性が悪いという程度の事。
なのに、なぜ、XOOPSだけが責められているのだろう?
見方を変えれば、Cookie Monsterの脆弱性と言えるのでは?
Re:XOOPSはやばい (スコア:0)
で、どうすればいいの?
Re:XOOPSはやばい (スコア:0)
そして、Xoopsはそういう対応をした。
以上。
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい (スコア:0)
じゃだめなのかな。
RFCみたら返すときにドメインも一緒に返すように見えたんだけど。
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい(-1:余計なもの) (スコア:0)
Re:XOOPSはやばい(-1:余計なもの) (スコア:0)
私も持っていますが、攻撃を煽るような書き方があって危険な香りがします。
Re:XOOPSはやばい(-1:余計なもの) (スコア:0)
Re:XOOPSはやばい (スコア:0)
Re:XOOPSはやばい (スコア:0)
海外の人も結構いますよ。αやβを試用してレポートで
貢献してる層はむしろ海外>日本ではないかと。
(中の人じゃないので外から見える範疇での話しだけど)