パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache+mod_perlのCSS予防法」記事へのコメント

  • クロスサイトスクリプティングですか。
    ここ(slashdot)もPerlを使っていると思いますが、対策は十分なのでしょうか?

    >そのうちどれほどがこういう対策に労力を割いているんでしょうか。

    という言
      • その後の書き込みを見ると、office氏が単なるセキュリティ・ゴロ
        という疑いを拭いきれない。
        /.-Jにご執心のようですね。
        #Tea Roomは毎日拝見しております。
        • これだわね。 [sourceforge.net]

          SourceForge の見られ方とか、責任分岐点のあり方とか、
          かなりの意識の違いがあるとしか思えない。

          /.-Jも/.もスクリプトを前提としてはいないでしょ。
          「なもの、ブラウザの責任だ」といいたいに違いない。
          勝手にデータを渡すのは、ブラウザだよ?
          • 免責 (スコア:3, 参考になる)

            /.-Jも/.もスクリプトを前提としてはいないでしょ。 「なもの、ブラウザの責任だ」といいたいに違いない。 勝手にデータを渡すのは、ブラウザだよ?

            デフォルト設定でブラウザスクリプトが動作するのが通常なのだから、その言い逃れはできないでしょう。もしそれを主張するなら、最低限でも次の免責条項を目立つところ(ユーザ登録画面など)に掲示しておく必要があるでしょう。

            当サイトではJavaScri

            • by tix (7637) on 2002年03月06日 0時26分 (#69185) ホームページ
              このような免責条項を載せることは賛成ですが、これを載せたとしてもやっぱり多くのユーザを抱えるサイトである以上、 XSS が見つかったら直してほしいことは直してほしいです。社会的責任とか言うつもりはなく、単にぼくが嬉しいというか何というか :-)

              それと、
              JavaScriptなどのブラウザスクリプトを使用していないため
              JavaScript は使われています。 JavaScript がオフでも正常に動作するというのは正しいですが。

              ぼくはスクリプトを見て、スクリプトの目的は HTML ファイルがキャッシュに入っていても広告だけは毎回ダウンロードし直させることだと思いましたが、違う意図かもしれません(失礼、 SLASH のコードを読んだことはありません)。

              (スレッド違いますが) XSS という略語は紛らわしくなくていいですね。今まで CSS と書くのも躊躇して、結局毎回「クロスサイトスクリプティング」と書いていたので、 XSS 採用決定。広まって定着してほしいです(世の中に XSS という略語が広まるより、 XSS がなくなってくれたほうが格段に嬉しいですが、現実的なほうで……)。
              --
              鵜呑みにしてみる?
              親コメント

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...