パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

The Cross Site Scripting FAQ」記事へのコメント

  • by Anonymous Coward
    XSSで引き起こされる被害というのは、大きく分けて
    • Cookieを盗まれる
    • ブラウザのセキュリティホールを突いてクライアントにいらん事される(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)

    という2種類ですよね。
    前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
    たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。

    • by 3danbara (8421) on 2002年05月23日 4時41分 (#96537) 日記
      脆弱なのはブラウザじゃなくてスクリプトだろ?
      <s>hoge</s>なんてのを通しちゃうチョロいスクリプトを置いちゃう「Webページ作成者」の責任ってのは本当に『ごく限られている』のか?
      分かってないなら語るなよ。『はっきり言ってウザい』から。

      あとAC投稿を否定するつもりは毛頭無いけどさ、『フォームさえあれば~』ってのは例えば別コメントに出てるOfficeさんの事を言ってるんだろうけど、半端知識で語った挙句に『頭悪そうなヤツ』なんて投稿を匿名でするんじゃないよ。
      名乗れもしないくせにそういう事を言っていい気になりたいんだったら、ここじゃなくて2chにでも行きな。

      # それとも自分がチョロいスクリプト書いて誰かに指摘された逆恨みかい?


      -1 フレームのもと でモデレーションよろしく。
      親コメント

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...