パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

URLに含まれるとGoogle Chromeがクラッシュする文字列」記事へのコメント

  • by Anonymous Coward on 2015年09月20日 21時31分 (#2886473)

    IEがクラッシュした時は鬼の首でも取ったかのように大騒ぎするくせに

    • by Anonymous Coward on 2015年09月20日 22時22分 (#2886489)

      それは私も思いました。
      IEと比べてどうかという話は別としても、一般論としては、二重デコードはセキュリティ脆弱性に直結するところなので、笑いごとではないですよね。
      今回の件は「URLの有効性チェックに失敗して」とあるところから、二重デコード後にURLの有効性チェックがあるために脆弱性にならないと判断されているようですが、
      そもそも二重デコードが発生している時点で何かおかしいのでは。
      リンク先を読んでも、なぜ二重デコードしてるのかよくわかりませんでした。

      親コメント
      • by Anonymous Coward

        これがsecurity issueでないというのもよくわからん。
        完全に豪放なURLでクラッシュするんだから、URL文字列に自動リンクするようなタイプの掲示板に大量に投げることで、かなり効果的にDoS攻撃をかけられるだろう。
        Googleはどういう基準で判断してるんだ?

        • by Anonymous Coward on 2015年09月21日 9時36分 (#2886596)

          情報流出や非可逆な破壊に繋がらないからでしょ
          クラッシュだけならブラウザを再起動すれば済むから、それに比べれば被害は小さい

          何でもかんでも大袈裟に不安を叫べばいいと思ってる奴は
          何が危険で何が危険でないのかわかってない

          親コメント
          • by Anonymous Coward

            いやいや、
            セキュリティバグもクラッシュバグも本質的には変わらないから。
            たとえば、オーバフローなんかで想定の領域外にアクセスしたときに、そのまま情報が読み書きできてしまうか、
            変な値を拾ってクラッシュするか、程度の違いしかないわけで。

            • by Anonymous Coward

              > そのまま情報が読み書きできてしまうか、変な値を拾ってクラッシュするか、程度の違いしかないわけで。

              それを「程度の違いしかない」で済ませるんだったらあらゆるものに本質的な違いはないね。

              >> 何が危険で何が危険でないのかわかってない

              まったくこの指摘のとおりだ

            • by Anonymous Coward

              だからさ、何が本当に危険なのかわかってない奴は議論に加わらなくていいからね
              「本質的には変わらない」んじゃなくて、「君が知識不足で区別できていない」だけ。
              君の認識不足に他人を巻き込まないでね

              • by Anonymous Coward

                別に直さないと言ってるわけでもないし、ただセキュリティリスクは低いから修正の優先度は低いよってだけですもんね。
                それで口汚く罵ったりするのはどうかと思いますよねえ。ま、知ったかぶりだからこそ罵れるんでしょうけどね。

        • by Anonymous Coward

          自社利益じゃない?

          なにかね、天下とると例外なくクズ企業になるのは企業組織として逃れられない運命なのかね
          それともそういうクソ企業にならないと天下取れないのが社会の仕組みなのか

          • by Anonymous Coward

            資本主義の仕様だから独占は悪として法規制まであるんだよ。

        • by Anonymous Coward

          あなたの大好きなMicrosoftも単なるクラッシュバグはセキュリティ脆弱性扱いしませんよ。

          • by Anonymous Coward

            (#2886498)氏は別にMS製品のことには触れていないようですが…。

            # 任意コード実行や情報流出の恐れのないクラッシュバグはセキュリティー上は比較的危険性の小さいバグだというのが、MSやセキュリティー対策会社を含めた業界の基本認識だという点は同意。

      • by Anonymous Coward

        URLは攻撃の口にしやすいところですし
        二重デコード等が起こることをあらかじめ想定してもよさそうですが
        googleもたいしたことないんですね

        まあ、TBもソースコードがあるとテストする気にならないんですかね

    • by Anonymous Coward

      chromeがクラッシュしたところで誰も困らないからな

      • by Anonymous Coward

        むしろクラッシュすることで自動的にメモリを開放してくれる親切設計だった・・・?

    • by Anonymous Coward

      あれ?そんなことありましたっけ?
      いつの記事か教えてください。

      • by Anonymous Coward

        IEのクラッシュでぱっと思いついたのはこれかな?
        http://srad.jp/story/07/08/06/1645256/ [srad.jp]
        「鬼の首を取ったかのように大騒ぎ」しているかどうかは読者の判断に任せる

        • by Anonymous Coward
          みんなが鬼の首取ってたかはさておき、conconなんてのもありましたね。
          • by Anonymous Coward

            なんにしろ今は昔、はるか遠くに過ぎ去った過去の話ですね。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...