パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

w3mに再び脆弱性発覚、0.3.2.2リリース」記事へのコメント

  • 珍しくセキュリティセクションローカルですね。

    IMG 要素の alt 属性をエスケープしていなかった、って……。

    alt 属性を HTML 文書中に展開するという設計だとしたら、その設計自体がまずいような気がします。 HTML 文書を parse して構文木を作った後で IMG 要素の処理を行うという設計のほうが、きれいで安全であるように思います。
    --
    鵜呑みにしてみる?
    • IMG 要素の alt 属性をエスケープしていなかった、って……。

      最近業務でBugzillaを利用しているのですが、新バグの登録画面で下のほうに
        いくつかのフィールドはあなたのブラウザ(ほにゃらら)
      と出るんですけど、このほにゃららがエスケープされてなくて、レジストリいじってmarqueeとか入れて置くと笑えるというか何と言うか。
      alt属性にせよ何にせよ、本当に「エスケープしてない」系のものが多くて残念です。

      親コメント
      • by tix (7637) on 2002年12月27日 21時04分 (#227343) ホームページ
        亀レスなので読んでもらえているかどうかわかりませんが……。
        レジストリいじってmarqueeとか入れて置くと笑えるというか何と言うか。
        バグを投稿するためのページ中の User-Agent がエスケープされていなくても、いきなりセキュリティホールにはならないと思いますが、この手のバグに予断は禁物です。結局セキュリティホールでも何でもなくて、笑って済ませられる問題かもしれませんが、ぜひ報告 [bugzilla.org]を。
        --
        鵜呑みにしてみる?
        親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...