アカウント名:
パスワード:
IEがクラッシュした時は鬼の首でも取ったかのように大騒ぎするくせに
それは私も思いました。IEと比べてどうかという話は別としても、一般論としては、二重デコードはセキュリティ脆弱性に直結するところなので、笑いごとではないですよね。今回の件は「URLの有効性チェックに失敗して」とあるところから、二重デコード後にURLの有効性チェックがあるために脆弱性にならないと判断されているようですが、そもそも二重デコードが発生している時点で何かおかしいのでは。リンク先を読んでも、なぜ二重デコードしてるのかよくわかりませんでした。
これがsecurity issueでないというのもよくわからん。完全に豪放なURLでクラッシュするんだから、URL文字列に自動リンクするようなタイプの掲示板に大量に投げることで、かなり効果的にDoS攻撃をかけられるだろう。Googleはどういう基準で判断してるんだ?
あなたの大好きなMicrosoftも単なるクラッシュバグはセキュリティ脆弱性扱いしませんよ。
(#2886498)氏は別にMS製品のことには触れていないようですが…。# 任意コード実行や情報流出の恐れのないクラッシュバグはセキュリティー上は比較的危険性の小さいバグだというのが、MSやセキュリティー対策会社を含めた業界の基本認識だという点は同意。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
なんで面白がられてるの (スコア:1)
IEがクラッシュした時は鬼の首でも取ったかのように大騒ぎするくせに
Re: (スコア:1)
それは私も思いました。
IEと比べてどうかという話は別としても、一般論としては、二重デコードはセキュリティ脆弱性に直結するところなので、笑いごとではないですよね。
今回の件は「URLの有効性チェックに失敗して」とあるところから、二重デコード後にURLの有効性チェックがあるために脆弱性にならないと判断されているようですが、
そもそも二重デコードが発生している時点で何かおかしいのでは。
リンク先を読んでも、なぜ二重デコードしてるのかよくわかりませんでした。
Re: (スコア:0)
これがsecurity issueでないというのもよくわからん。
完全に豪放なURLでクラッシュするんだから、URL文字列に自動リンクするようなタイプの掲示板に大量に投げることで、かなり効果的にDoS攻撃をかけられるだろう。
Googleはどういう基準で判断してるんだ?
Re: (スコア:0)
あなたの大好きなMicrosoftも単なるクラッシュバグはセキュリティ脆弱性扱いしませんよ。
Re:なんで面白がられてるの (スコア:0)
(#2886498)氏は別にMS製品のことには触れていないようですが…。
# 任意コード実行や情報流出の恐れのないクラッシュバグはセキュリティー上は比較的危険性の小さいバグだというのが、MSやセキュリティー対策会社を含めた業界の基本認識だという点は同意。