パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache+mod_perlのCSS予防法」記事へのコメント

  • クロスサイトスクリプティングですか。
    ここ(slashdot)もPerlを使っていると思いますが、対策は十分なのでしょうか?

    >そのうちどれほどがこういう対策に労力を割いているんでしょうか。

    という言
      • その後の書き込みを見ると、office氏が単なるセキュリティ・ゴロ
        という疑いを拭いきれない。
        /.-Jにご執心のようですね。
        #Tea Roomは毎日拝見しております。
        • これだわね。 [sourceforge.net]

          SourceForge の見られ方とか、責任分岐点のあり方とか、
          かなりの意識の違いがあるとしか思えない。

          /.-Jも/.もスクリプトを前提としてはいないでしょ。
          「なもの、ブラウザの責任だ」といいたいに違いない。
          勝手にデータを渡すのは、ブラウザだよ?
          --
          -- unicodebetrayer@gmail.com
          • Re:/.は大丈夫? (スコア:3, 参考になる)

            by jbeef (1278) on 2002年03月02日 19時00分 (#68029) 日記
            これだわね。 [sourceforge.net]
            そこから引用すると、
            This is a bug, but not a vulnerability, as there is no exploit. It may be possible for a logged-in user to send his or her own cookie to a website of his or her choice, by cleverly concocting an email address with quote and angle bracket. But the user had to have his or her own cookie already, to be logged-in, so there is no new information revealed, and no escalation of privileges.
            取り急ぎ訳:
            これはバグではあるが、exploitが無いので、脆弱性ではない。 ログイン中のユーザは、 彼/彼女の選択のもと、どこかのWebサイトに、 彼/彼女の所有するcookieを送信することが、 「"」や「<」を含めて器用に作り上げられたメールアドレスによって、 可能かもしれない。 しかし、そのユーザは、ログインのために、 彼/彼女の所有するcookieを既に持つ必要があったのだから、 何も新しい情報が露わになるわけでなく、何ら特権の拡大があるわけでもない。
            どうやら、slashcodeの開発者は、このときまで、クロスサイトスクリプティング脆弱性を正しく理解なさっていなかったようです。

            (それ以前にも、 パターンA [sourceforge.net]、 パターンB [sourceforge.net]、 パターンC [sourceforge.net] と3回も指摘があったにもかかわらず。さらに言うと、jbeefがslashdot.jpに連絡した2件 [srad.jp]はこれらとも別パターンなので、少なくとも5パターンが過去にあったのかな。)

            そして、その修正から6時間後、さらに新たにクロスサイトスクリプティング脆弱性が指摘 [sourceforge.net]されています。 このときようやく問題点を正しく理解なさったようで、このときは、

            Please send security-related issues to us privately (malda@slashdot.org is a good place) and give us a chance to fix them before posting exploits.
            という反応があり、そして、 ご本人からBUGTRAQへ報告がなされる [securityfocus.com]こととなったようです。
            [SA-2002:01] Slashcode login vulnerability
            RISK FACTOR: HIGH
            The attacker can then take over the user's account. If the user is an administrator of the victim Slash website, the attacker can take nearly full control of that site (post and delete stories, edit users, post as other users, etc.).
            取り急ぎ訳:
            そして攻撃者はユーザのアカウントを乗っ取ることができる。 もしそのユーザが、その被害者Slashサイトの管理者であるならば、 攻撃者はそのサイトのほぼ完全な制御を奪うことができる (ストーリを投稿したり削除したり、ユーザを編集したり、 別のユーザとして投稿したり、など)。
            親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...