アカウント名:
パスワード:
それに対してXSSやSQL injectionはアクセス制御機構を無効化するような情報を入力する行為なので処罰の対象になります。
XSS はクライアント側で任意の JavaScript を動かせる場合があるというものですよ。その結果として、クッキーを盗めることがあって、さらにその盗んだクッキーを使うとセッションハイジャックができるって話。 「アクセス制御機構を無効化するような情報を入力する行為」というのは、盗んだクッキーを使う行為の部分。 XSS があるかどうかは、そういう攻撃が起き得るかの可能性を示しすだけなわけで、それ自体がアクセス制御機構を無効化するわけじゃない。
SQL injection も、もろにアクセス制御機構を回避する攻撃に使う場合(パスワード欄にシングルクオート+云々を入れるとか)もあるけど、それ以外の攻撃もあるね。
XSS はクライアント側で任意の JavaScript を動かせる場合があるというものですよ。その結果として、クッキーを盗めることがあって、さらにその盗んだクッキーを使うとセッションハイジャックができるって話。
それに、ローカルファイルを転送するのに使える XSS穴なんて過去にあったっけ? それは、cross domain なんとかって言うんじゃなかったかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
主張の解読を試みる (スコア:1, 興味深い)
不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。
> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」
実装上の脆弱性は全て保護対象外という主
解説(Flamebait? -1) (スコア:3, 参考になる)
>不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
>#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。
全て保護対象外です。
原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。
>> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」
>実装上の脆弱性は全て保護対象外という主張のようですね。
Re:解説(Flamebait? -1) (スコア:2, 参考になる)
XSS はクライアント側で任意の JavaScript を動かせる場合があるというものですよ。その結果として、クッキーを盗めることがあって、さらにその盗んだクッキーを使うとセッションハイジャックができるって話。
「アクセス制御機構を無効化するような情報を入力する行為」というのは、盗んだクッキーを使う行為の部分。
XSS があるかどうかは、そういう攻撃が起き得るかの可能性を示しすだけなわけで、それ自体がアクセス制御機構を無効化するわけじゃない。
SQL injection も、もろにアクセス制御機構を回避する攻撃に使う場合(パスワード欄にシングルクオート+云々を入れるとか)もあるけど、それ以外の攻撃もあるね。
Re:解説(Flamebait? -1) (スコア:0)
Re:解説(Flamebait? -1) (スコア:0)
それに、ローカルファイルを転送するのに使える XSS穴なんて過去にあったっけ? それは、cross domain なんとかって言うんじゃなかったかと。