パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数のWikiクローンのファイル添付機能にXSSな脆弱性」記事へのコメント

  • Wiki のページ表示時にどんなに頑張って XSS 対策しても添付ファイル表示できるようにしてたら意味無いじゃんって話は大分昔からしてたと思うんだけどなぁ。

    ・添付は使えないと不便
    ・添付の Content-Type を application/binary にしてダウンロードダイアログが出るようにしてXSSしとこう
    ・でも画像(好みによりswfも)はブラウザ
    • Re:今更か (スコア:2, 参考になる)

      IEだとContent-typeではなくファイルの中身を見て
      判断しますから、添付を使わないが正しいかと.
      でなければ各セキュリティゾーンのセキュリティの設定で
      [その他]-[拡張子ではなく、内容によってファイルを開くこと]を
      "無効にする"とすればいいかも.
      ほかには ファイルを一回ローカルにダウンロ
      --
      やなぎ
      字面じゃなく論旨を読もう。モデレートはそれからだ
      • Wikiがわで考えると、添付ファイルはfile(1) [freebsd.org]でContent-type:を決める様にしたら問題なしといえる?
        #でも回避出来ちゃうような場合もありそう...
        • Re:今更か (スコア:2, 参考になる)

          by yanagi (6075) on 2005年05月20日 4時47分 (#737675) ホームページ 日記
          fileで判定しても攻撃的なhtmlなりjpgなりは特定の環境に
          対してはやはり攻撃的なわけで、管理者がそれをチェックする
          ことはできないわけです。

          普通のウェブにしても管理者を信頼するしかないわけで、
          同じ第三者と言えばそうなんですが…。
          --
          やなぎ
          字面じゃなく論旨を読もう。モデレートはそれからだ
          親コメント

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...