パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache+mod_perlのCSS予防法」記事へのコメント

  • クロスサイトスクリプティングですか。
    ここ(slashdot)もPerlを使っていると思いますが、対策は十分なのでしょうか?

    >そのうちどれほどがこういう対策に労力を割いているんでしょうか。

    という言
      • その後の書き込みを見ると、office氏が単なるセキュリティ・ゴロ
        という疑いを拭いきれない。
        /.-Jにご執心のようですね。
        #Tea Roomは毎日拝見しております。
        • これだわね。 [sourceforge.net]

          SourceForge の見られ方とか、責任分岐点のあり方とか、
          かなりの意識の違いがあるとしか思えない。

          /.-Jも/.もスクリプトを前提としてはいないでしょ。
          「なもの、ブラウザの責任だ」といいたいに違いない。
          勝手にデータを渡すのは、ブラウザだよ?
          「IE(NN/NC)よ、そんなけったいな要求を通してくれるな」と
          考えるのが普通では無かろうか。

          けったいな要求を通すものを前提として動くなら、
          それなりの対策は必要でしょうが。
          親コメント
          • 免責 (スコア:3, 参考になる)

            by jbeef (1278) on 2002年03月02日 17時44分 (#68010) 日記
            /.-Jも/.もスクリプトを前提としてはいないでしょ。 「なもの、ブラウザの責任だ」といいたいに違いない。 勝手にデータを渡すのは、ブラウザだよ?
            デフォルト設定でブラウザスクリプトが動作するのが通常なのだから、その言い逃れはできないでしょう。もしそれを主張するなら、最低限でも次の免責条項を目立つところ(ユーザ登録画面など)に掲示しておく必要があるでしょう。

            当サイトではJavaScriptなどのブラウザスクリプトを使用していないため、スクリプトをオフに設定しても正常に動作します。また、利用者がスクリプトをオフにしていることを前提として、安全対策をしているため、スクリプトをオンにしていることによって生ずるいかなる事故についても、当サイトは責任を負いません。当サイトをスクリプトをオンでご利用される方は自己責任でお願いします。

            親コメント
            • by naka64 (4590) on 2002年03月03日 0時30分 (#68136) 日記
              そこが「言わずもがな」の内側か外側かというのが、最初と現況とで変わっていると言うことなんでしょうね。
              ScriptKidの感情論を演じてみたと言うことでお許し下さい
              親コメント
            • by tix (7637) on 2002年03月06日 0時26分 (#69185) ホームページ
              このような免責条項を載せることは賛成ですが、これを載せたとしてもやっぱり多くのユーザを抱えるサイトである以上、 XSS が見つかったら直してほしいことは直してほしいです。社会的責任とか言うつもりはなく、単にぼくが嬉しいというか何というか :-)

              それと、
              JavaScriptなどのブラウザスクリプトを使用していないため
              JavaScript は使われています。 JavaScript がオフでも正常に動作するというのは正しいですが。

              ぼくはスクリプトを見て、スクリプトの目的は HTML ファイルがキャッシュに入っていても広告だけは毎回ダウンロードし直させることだと思いましたが、違う意図かもしれません(失礼、 SLASH のコードを読んだことはありません)。

              (スレッド違いますが) XSS という略語は紛らわしくなくていいですね。今まで CSS と書くのも躊躇して、結局毎回「クロスサイトスクリプティング」と書いていたので、 XSS 採用決定。広まって定着してほしいです(世の中に XSS という略語が広まるより、 XSS がなくなってくれたほうが格段に嬉しいですが、現実的なほうで……)。
              --
              鵜呑みにしてみる?
              親コメント
          • Re:/.は大丈夫? (スコア:3, 参考になる)

            by jbeef (1278) on 2002年03月02日 19時00分 (#68029) 日記
            これだわね。 [sourceforge.net]
            そこから引用すると、
            This is a bug, but not a vulnerability, as there is no exploit. It may be possible for a logged-in user to send his or her own cookie to a website of his or her choice, by cleverly concocting an email address with quote and angle bracket. But the user had to have his or her own cookie already, to be logged-in, so there is no new information revealed, and no escalation of privileges.
            取り急ぎ訳:
            これはバグではあるが、exploitが無いので、脆弱性ではない。 ログイン中のユーザは、 彼/彼女の選択のもと、どこかのWebサイトに、 彼/彼女の所有するcookieを送信することが、 「"」や「<」を含めて器用に作り上げられたメールアドレスによって、 可能かもしれない。 しかし、そのユーザは、ログインのために、 彼/彼女の所有するcookieを既に持つ必要があったのだから、 何も新しい情報が露わになるわけでなく、何ら特権の拡大があるわけでもない。
            どうやら、slashcodeの開発者は、このときまで、クロスサイトスクリプティング脆弱性を正しく理解なさっていなかったようです。

            (それ以前にも、 パターンA [sourceforge.net]、 パターンB [sourceforge.net]、 パターンC [sourceforge.net] と3回も指摘があったにもかかわらず。さらに言うと、jbeefがslashdot.jpに連絡した2件 [srad.jp]はこれらとも別パターンなので、少なくとも5パターンが過去にあったのかな。)

            そして、その修正から6時間後、さらに新たにクロスサイトスクリプティング脆弱性が指摘 [sourceforge.net]されています。 このときようやく問題点を正しく理解なさったようで、このときは、

            Please send security-related issues to us privately (malda@slashdot.org is a good place) and give us a chance to fix them before posting exploits.
            という反応があり、そして、 ご本人からBUGTRAQへ報告がなされる [securityfocus.com]こととなったようです。
            [SA-2002:01] Slashcode login vulnerability
            RISK FACTOR: HIGH
            The attacker can then take over the user's account. If the user is an administrator of the victim Slash website, the attacker can take nearly full control of that site (post and delete stories, edit users, post as other users, etc.).
            取り急ぎ訳:
            そして攻撃者はユーザのアカウントを乗っ取ることができる。 もしそのユーザが、その被害者Slashサイトの管理者であるならば、 攻撃者はそのサイトのほぼ完全な制御を奪うことができる (ストーリを投稿したり削除したり、ユーザを編集したり、 別のユーザとして投稿したり、など)。
            親コメント

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...