アカウント名:
パスワード:
ユーザがフラッシュをアップロードできて、かつサーバ管理者がそのフラッシュが機能するように object タグやら embed タグやらを付けて表示するようにしてると危険ってことでしょ?
Flash が危険なのか、サーバ管理者が危険なのか。
対策と
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
もうここまでくるとよくわからん (スコア:0)
ユーザがフラッシュをアップロードできて、かつサーバ管理者がそのフラッシュが機能するように object タグやら embed タグやらを付けて表示するようにしてると危険ってことでしょ?
Flash が危険なのか、サーバ管理者が危険なのか。
対策と
そもそもXSSを「脆弱性」とするのがヘン (スコア:0)
正しくWebアプリケーションを組んで運用していれば、Cookieを盗まれようがJavaScriptを実行されようが何も問題が起きないのに、粋がってXSS話が飛び交うここ半年(とくにここ数カ月)に凄く違和感を感じています。
Re:そもそもXSSを「脆弱性」とするのがヘン (スコア:0)
Re:そもそもXSSを「脆弱性」とするのがヘン (スコア:0)
たとえばSlashdotではID/Passwordの認証後はCookieの値で認証してますが、仮にこのCookieを第三者が取得して利用しても、引き出せる情報は何ら致命的なものはありません。せいぜい本当のメールアドレスぐらいですが、これが表に出ても問題になりません。問題になるのは問題のある行動を行っている人だけですから。
# 「匿名性」が売りな仕組みなんかは相手にしないので知りません。
# と言いつつACで書いてるオレ。
仮にNet銀行とか重要っぽい情報を扱わなければいけない場合で且つCookieに
Re:そもそもXSSを「脆弱性」とするのがヘン (スコア:0)
> 問題になりません。問題になるのは問題のある行動を行っている
> 人だけですから。
当人にとって何が漏れたら困る情報なのかは、あなたが決めることではない。実務経験のある人ならこんな事言えないはずだよね。
> たびたび出口のアドレスが変わるから不可能、とよく問題にされ
> ますがそもそもそういうネットワークがどれだけ存在するかリサ
> ーチした結果なのか謎です。
リサーチもなにも、現に事実じゃん。例えば富士通からのアクセスは
t3.fujitsu.co.jp
t2.fujitsu.co.jp
t4.fujitsu.co.jp
t4.fujitsu.co.jp
といったように、同一人物からの一連のアクセスも別々のIPアドレスでやってくるわけ。ソニーだって、
gatekeeper12.sony.co.jp
gatekeeper21.sony.co.jp
gatekeeper23.sony.co.jp
gatekeeper21.sony.co.jp
みたいになる。NEC だってそうだ。
そんなの、実際にシステムを作っている者なら常識。経験もないくせにいいかげんなこと言うなや。
> 他にも手段はあると思いますよ。
無いって。
> # 本来クライアント証明書などを導入させるべきなんですが、
> # 「ユーザの利便性」という神話に負けて導入できてないとこ
> ろばっかですな。
有料だからでは?