パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

@nifty掲示板に重大なXSS脆弱性が発覚」記事へのコメント

  • by Anonymous Coward
    楽天日記はまだスタイルシートが無制限に使えて画面偽装出来るようですが何か。

    楽天日記の場合、タグのサニタイジングは要素名で判断、Javascript対策は全文検索をかけて半角文字でdocumentのような javascriptで使われる文字列が見つかると危険と判断しているようです。ユーザーも困っているようで苦情書き込みも見つけました。半年前まで興味深く見守り何度か間接的に注意を投げましたがこんな状況です。
    楽天日記はログインしたままでユーザー間の日記を往復しているユーザーが多く、また奪ったアカウントは買い物や個人情報のアクセスにも使えるためセッションを奪え
    • by Anonymous Coward on 2003年06月26日 12時03分 (#345820)
      顧客「ユーザから指摘を受けて対策しないといけないのだが。」
      私「ちょっと、見てみますね。(うちのシステムじゃないんだけど)」
      私「...」
      私「製造元に対応させたらどうですか。」
      顧客「いろいろとあって。。。」
      私「保守の範囲じゃないですか?。」
      顧客「保守契約結んでいない。。。」
      私「問い合わせに対してだけなら、○○だけ対策すればいいですが、
      あれやら、これやらも直さないとダメですよ。」
      顧客「じゃあ、○○だけしてもらえます?」

      このあと、どうなったかは知らない。官庁関係なんだが。
      エンジニアの質の問題よりも発注側で作る人と、チェックする 人が同一としている点がまず問題。
      多くの場合、その後の保守の方が問題なのにその点を考慮して ない発注者側の問題の方がおおきい。
      何事も稟議・予算獲得といった縦割り杓子定規での範囲でしか 担当者が動けず、発想や思考が硬直している。
      # 多くの企業でもそうだが。

      意志決定の迅速さや、裁量をある程度あたえなければ、こういった 人間が増えていくんでしょうね。

      さて、問題の私の作業費用は、ベンチ等の什器をあっちやら こっちやらたどって、手元には一応来ました。
      # だから、そういう事やってるから、ダメなんだって。
      親コメント

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...