アカウント名:
パスワード:
IEがクラッシュした時は鬼の首でも取ったかのように大騒ぎするくせに
それは私も思いました。IEと比べてどうかという話は別としても、一般論としては、二重デコードはセキュリティ脆弱性に直結するところなので、笑いごとではないですよね。今回の件は「URLの有効性チェックに失敗して」とあるところから、二重デコード後にURLの有効性チェックがあるために脆弱性にならないと判断されているようですが、そもそも二重デコードが発生している時点で何かおかしいのでは。リンク先を読んでも、なぜ二重デコードしてるのかよくわかりませんでした。
これがsecurity issueでないというのもよくわからん。完全に豪放なURLでクラッシュするんだから、URL文字列に自動リンクするようなタイプの掲示板に大量に投げることで、かなり効果的にDoS攻撃をかけられるだろう。Googleはどういう基準で判断してるんだ?
情報流出や非可逆な破壊に繋がらないからでしょクラッシュだけならブラウザを再起動すれば済むから、それに比べれば被害は小さい
何でもかんでも大袈裟に不安を叫べばいいと思ってる奴は何が危険で何が危険でないのかわかってない
いやいや、セキュリティバグもクラッシュバグも本質的には変わらないから。たとえば、オーバフローなんかで想定の領域外にアクセスしたときに、そのまま情報が読み書きできてしまうか、変な値を拾ってクラッシュするか、程度の違いしかないわけで。
> そのまま情報が読み書きできてしまうか、変な値を拾ってクラッシュするか、程度の違いしかないわけで。
それを「程度の違いしかない」で済ませるんだったらあらゆるものに本質的な違いはないね。
>> 何が危険で何が危険でないのかわかってない
まったくこの指摘のとおりだ
だからさ、何が本当に危険なのかわかってない奴は議論に加わらなくていいからね「本質的には変わらない」んじゃなくて、「君が知識不足で区別できていない」だけ。君の認識不足に他人を巻き込まないでね
別に直さないと言ってるわけでもないし、ただセキュリティリスクは低いから修正の優先度は低いよってだけですもんね。それで口汚く罵ったりするのはどうかと思いますよねえ。ま、知ったかぶりだからこそ罵れるんでしょうけどね。
自社利益じゃない?
なにかね、天下とると例外なくクズ企業になるのは企業組織として逃れられない運命なのかねそれともそういうクソ企業にならないと天下取れないのが社会の仕組みなのか
資本主義の仕様だから独占は悪として法規制まであるんだよ。
あなたの大好きなMicrosoftも単なるクラッシュバグはセキュリティ脆弱性扱いしませんよ。
(#2886498)氏は別にMS製品のことには触れていないようですが…。# 任意コード実行や情報流出の恐れのないクラッシュバグはセキュリティー上は比較的危険性の小さいバグだというのが、MSやセキュリティー対策会社を含めた業界の基本認識だという点は同意。
URLは攻撃の口にしやすいところですし二重デコード等が起こることをあらかじめ想定してもよさそうですがgoogleもたいしたことないんですね
まあ、TBもソースコードがあるとテストする気にならないんですかね
chromeがクラッシュしたところで誰も困らないからな
むしろクラッシュすることで自動的にメモリを開放してくれる親切設計だった・・・?
あれ?そんなことありましたっけ?いつの記事か教えてください。
IEのクラッシュでぱっと思いついたのはこれかな?http://srad.jp/story/07/08/06/1645256/ [srad.jp]「鬼の首を取ったかのように大騒ぎ」しているかどうかは読者の判断に任せる
なんにしろ今は昔、はるか遠くに過ぎ去った過去の話ですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
なんで面白がられてるの (スコア:1)
IEがクラッシュした時は鬼の首でも取ったかのように大騒ぎするくせに
Re:なんで面白がられてるの (スコア:1)
それは私も思いました。
IEと比べてどうかという話は別としても、一般論としては、二重デコードはセキュリティ脆弱性に直結するところなので、笑いごとではないですよね。
今回の件は「URLの有効性チェックに失敗して」とあるところから、二重デコード後にURLの有効性チェックがあるために脆弱性にならないと判断されているようですが、
そもそも二重デコードが発生している時点で何かおかしいのでは。
リンク先を読んでも、なぜ二重デコードしてるのかよくわかりませんでした。
Re: (スコア:0)
これがsecurity issueでないというのもよくわからん。
完全に豪放なURLでクラッシュするんだから、URL文字列に自動リンクするようなタイプの掲示板に大量に投げることで、かなり効果的にDoS攻撃をかけられるだろう。
Googleはどういう基準で判断してるんだ?
Re:なんで面白がられてるの (スコア:1)
情報流出や非可逆な破壊に繋がらないからでしょ
クラッシュだけならブラウザを再起動すれば済むから、それに比べれば被害は小さい
何でもかんでも大袈裟に不安を叫べばいいと思ってる奴は
何が危険で何が危険でないのかわかってない
Re: (スコア:0)
いやいや、
セキュリティバグもクラッシュバグも本質的には変わらないから。
たとえば、オーバフローなんかで想定の領域外にアクセスしたときに、そのまま情報が読み書きできてしまうか、
変な値を拾ってクラッシュするか、程度の違いしかないわけで。
Re: (スコア:0)
> そのまま情報が読み書きできてしまうか、変な値を拾ってクラッシュするか、程度の違いしかないわけで。
それを「程度の違いしかない」で済ませるんだったらあらゆるものに本質的な違いはないね。
>> 何が危険で何が危険でないのかわかってない
まったくこの指摘のとおりだ
Re: (スコア:0)
だからさ、何が本当に危険なのかわかってない奴は議論に加わらなくていいからね
「本質的には変わらない」んじゃなくて、「君が知識不足で区別できていない」だけ。
君の認識不足に他人を巻き込まないでね
Re: (スコア:0)
別に直さないと言ってるわけでもないし、ただセキュリティリスクは低いから修正の優先度は低いよってだけですもんね。
それで口汚く罵ったりするのはどうかと思いますよねえ。ま、知ったかぶりだからこそ罵れるんでしょうけどね。
Re: (スコア:0)
自社利益じゃない?
なにかね、天下とると例外なくクズ企業になるのは企業組織として逃れられない運命なのかね
それともそういうクソ企業にならないと天下取れないのが社会の仕組みなのか
Re: (スコア:0)
資本主義の仕様だから独占は悪として法規制まであるんだよ。
Re: (スコア:0)
あなたの大好きなMicrosoftも単なるクラッシュバグはセキュリティ脆弱性扱いしませんよ。
Re: (スコア:0)
(#2886498)氏は別にMS製品のことには触れていないようですが…。
# 任意コード実行や情報流出の恐れのないクラッシュバグはセキュリティー上は比較的危険性の小さいバグだというのが、MSやセキュリティー対策会社を含めた業界の基本認識だという点は同意。
Re: (スコア:0)
URLは攻撃の口にしやすいところですし
二重デコード等が起こることをあらかじめ想定してもよさそうですが
googleもたいしたことないんですね
まあ、TBもソースコードがあるとテストする気にならないんですかね
Re: (スコア:0)
chromeがクラッシュしたところで誰も困らないからな
Re: (スコア:0)
むしろクラッシュすることで自動的にメモリを開放してくれる親切設計だった・・・?
Re: (スコア:0)
あれ?そんなことありましたっけ?
いつの記事か教えてください。
Re: (スコア:0)
IEのクラッシュでぱっと思いついたのはこれかな?
http://srad.jp/story/07/08/06/1645256/ [srad.jp]
「鬼の首を取ったかのように大騒ぎ」しているかどうかは読者の判断に任せる
Re: (スコア:0)
Re: (スコア:0)
なんにしろ今は昔、はるか遠くに過ぎ去った過去の話ですね。