パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

FlashによるXSS脆弱性の突き方」記事へのコメント

  • ユーザがフラッシュをアップロードできて、かつサーバ管理者がそのフラッシュが機能するように object タグやら embed タグやらを付けて表示するようにしてると危険ってことでしょ?

    Flash が危険なのか、サーバ管理者が危険なのか。

    対策と

    • 最近、問題が起こる起きないを無視して「XSSだ、危険!」って雰囲気が充満していて嫌ですね。

      正しくWebアプリケーションを組んで運用していれば、Cookieを盗まれようがJavaScriptを実行されようが何も問題が起きないのに、粋がってXSS話が飛び交うここ半年(とくにここ数カ月)に凄く違和感を感じています。
      • どう組めば大丈夫なのか教えてください。懇願。
        • まず、結果的に悪用されて困る情報を引けなけば問題が起き様が無いですね。
          たとえばSlashdotではID/Passwordの認証後はCookieの値で認証してますが、仮にこのCookieを第三者が取得して利用しても、引き出せる情報は何ら致命的なものはありません。せいぜい本当のメールアドレスぐらいですが、これが表に出ても問題になりません。問題になるのは問題のある行動を行っている人だけですから。
          # 「匿名性」が売りな仕組みなんかは相手にしないので知りません。
          # と言いつつACで書いてるオレ。

          仮にNet銀行とか重要っぽい情報を扱わなければいけない場合で且つCookieに
          • by Anonymous Coward on 2002年06月10日 13時10分 (#105752)
            > せいぜい本当のメールアドレスぐらいですが、これが表に出ても
            > 問題になりません。問題になるのは問題のある行動を行っている
            > 人だけですから。

            当人にとって何が漏れたら困る情報なのかは、あなたが決めることではない。実務経験のある人ならこんな事言えないはずだよね。

            > たびたび出口のアドレスが変わるから不可能、とよく問題にされ
            > ますがそもそもそういうネットワークがどれだけ存在するかリサ
            > ーチした結果なのか謎です。

            リサーチもなにも、現に事実じゃん。例えば富士通からのアクセスは
              t3.fujitsu.co.jp
              t2.fujitsu.co.jp
              t4.fujitsu.co.jp
              t4.fujitsu.co.jp
            といったように、同一人物からの一連のアクセスも別々のIPアドレスでやってくるわけ。ソニーだって、
              gatekeeper12.sony.co.jp
              gatekeeper21.sony.co.jp
              gatekeeper23.sony.co.jp
              gatekeeper21.sony.co.jp
            みたいになる。NEC だってそうだ。
            そんなの、実際にシステムを作っている者なら常識。経験もないくせにいいかげんなこと言うなや。

            > 他にも手段はあると思いますよ。

            無いって。

            > # 本来クライアント証明書などを導入させるべきなんですが、
            > # 「ユーザの利便性」という神話に負けて導入できてないとこ
            > ろばっかですな。

            有料だからでは?
            親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...