パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

The Cross Site Scripting FAQ」記事へのコメント

  • by Anonymous Coward
    XSSで引き起こされる被害というのは、大きく分けて
    • Cookieを盗まれる
    • ブラウザのセキュリティホールを突いてクライアントにいらん事される(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)

    という2種類ですよね。
    前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
    たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。

    • by Anonymous Coward on 2002年05月23日 5時50分 (#96549)
      > 更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。

      って、あのOfficeさんのこと?

      たしかに、手あたり次第にあちこちのサイト管理者にXSS脆弱性についてなにも考えずに注意しまくったり、XSS以外の周りのことが見えなかったり、偏狭な主張で人を罵倒することに生きがいを感じているようなところもチラチラみえるし、自分が持ち上げられるとふんぞり返ったりして、自己顕示欲ばっかりおおきい、見ていてほほえましいくらい頭が悪い人だけど、技術的内容には間違いはないと思うな。

      いい人ですよ。
      ほんと。
      親コメント
      • by Anonymous Coward on 2002年05月23日 8時35分 (#96574)
        まぁ、(自称)セキュリティ専門家なんてこんなもんよ。
        重箱の隅につついて、ほこりが出たら騒ぎ立てる。そうやってカネを得ようとするのが商売だからねぇ。仕方ないんじゃないすか。

        本当にいい人ならこっそり会社に教えて、ちゃんと対応すればそのまま音便に済ませるでしょう。しかし、(自称)セキュリティ専門家は対応しようとしまいと騒ぐからね。こうやって自分を広告するしかないんです。
        親コメント
        • by Anonymous Coward on 2002年05月23日 10時10分 (#96597)
          >本当にいい人ならこっそり会社に教えて、ちゃんと対応すればそのまま音便に済ませるでしょう。

          Office氏はそのように行動してるが何か?
          その上でちゃんと対応しないので公開してるのだが何か?

          #たしかに口は悪いけどね
          親コメント
          • その上でちゃんと対応しないので公開してるのだが何か?
            相手が自分の思う通りの行動を取らなかったからと言って騒ぎ立てるのは、右翼が街宣車で騒いでるのと一緒だね。
        • 彼(Office)も昔は「セキュリティーで金を取るのは最低だ」と格好いいことを主張していたけれど
          今じゃすっかり毒されたね。

          無償で電波を流す分には被害は限られていたが
          金が絡んできて彼の子
      • by Technical Type (3408) on 2002年05月24日 13時34分 (#97303)
        > 鬼の首でも取ったかのように騒ぎ立てて「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。

        「黙っていさえすればセキュリティーの問題は存在しないんだ、そうすれば管理者は対策しないでいられるから大助かりだ」という考え=つまり被害に遭うまでわからない人もいるし、警告してもらっても無視する人もいるようですね。

        事実を明らかにしないと、消費者や顧客が被害に遭う羽目になりかねないのだけれど。でも「自分の銀行のサイトの脆弱性があっても俺は平気」という考えなら、立派です。

        親コメント
        • by Anonymous Coward
          officeさんはよく企業の窓口に向かって「企業の姿勢がなっとらん」とか言うわけだけど、 ご本人はまるで「経営」やったことない人なんだよね(って、本人が言ってる。やりたくもない、とも言っている)。でそういう人に「お前の経営はそのWebにXSS脆弱性の認識がないからなっとらん」とか言われても、全然説得力がないんですね。

          クルマの運転をしたことがない人に、「おまえの運転は三流だよね」などと言われるようなもの。

          だから内容がいくら正しくても無視されて当然な場面は非常に多いと思う。

          そこで、無視されては自分の存在がなくなってしまうからここの企業のWebはおかしいとか言う非常手段
          • by Anonymous Coward
            だけど、そういう「インシデント」の対応のときに、感情に左右されちゃうような企業は、危機管理がなってないというのもこれまた事実。

            office氏の本当の狙いは、それをあぶり出すことにあるのでは?

            自分の力がないから無視されている、という事実は変わらない。

            それはoffice氏も自認しているところでは?
            問題を見つけた人が報告するときに報告者に高度な能力が求められ

            • by Anonymous Coward
              > 企業の窓口には言っていないのでは?
              > 企業の対応の実態を公表しているだけで。

              これは事実誤認と思います。なぜかというと、そういう例を私は企業の窓口の方から聞かされて、愚痴られたことがあるから。

              > けど、そういう「インシデント」の対応のときに、感情に左右されちゃうような企業は、危機管理がなってないというのもこれまた事実。

              これもその人から聞いたけど、通常、企業の窓口の人は感情的になっていないと思います。むしろ「ビジネス上の常識を知らない」という人の意見は聞いても価値がない、ということをそれこそofficeさんより長いビ
              • by Anonymous Coward
                > これもその人から聞いたけど、通常、企業の窓口の人は感情的になっていないと思います。
                > むしろ「ビジネス上の常識を知らない」という人の意見は聞いても価値がない、

                それが十分感情的だっての。

                ビジネスの相手は誰なの?
                クレームをつけてきた一個人がビジネスの相手じゃないわけよ。
                そのクレーマーがどう行動するかを見極めて、
                他のお客様(これが真のビジネスの相手)の印象がどうなるかを計算して行動するのが、
                まともなビジネスマンだろ。
                一人のクレーマーの態度にたいして、

                > 「ビジネス上の常識を知らない」

                とか言ってるなんて、まるで危機管理できてないじゃん。
              • やめたら?
                人を攻撃して喜ぶのをさ。
                どっちもACなんだし。
                どっちも見苦しいよ。
                おれもACだから言える義理じゃないけどさ。
          • by Anonymous Coward
            > クルマの運転をしたことがない人に、
            > 「おまえの運転は三流だよね」などと言われるようなもの。

            またまたインチキな例えだな。アタマ弱すぎ。

            正しくはこうだ。

            バス会社が、
            クルマの運転をしたことがない客に、
            「おまえんとこの運転手は危なくて三流だ」
            と言われるようなもの。

            普通じゃないか。
            • by Anonymous Coward
              > またまたインチキな例えだな。アタマ弱すぎ。

              まじめにお話をしているところで、こういうものの言い方をする、ということ自体が常識を外れていると思います。

              「インチキ」
              「アタマ弱すぎ」

              という表現をこういうときに使う、という人とは、やはり距離をおいて付き合う、というのがまともな常識人でしょう。私の信じている価値基準によれば、内容が正しいから、いくら汚い罵詈雑言を言っても
              • by Anonymous Coward
                > いくら汚い罵詈雑言を言っても許される、という考え方をする人が
                > ビジネスも経営もまともに語れるとは思わないのですが。

                ほう、常識的じゃん。で、自分が、

                >>> ネットの技術を持った程度のボーヤが

                って言うのはかまわんと。最高だね、アンタ。
              • by Anonymous Coward
                お開きにしたら?
                不毛な議論だし。
          • by Anonymous Coward
            「中身がたとえ正しくても、反発されて、その先は聞いてもらえなくて当然だよね」

            ここだけはやっぱり受け容れがたいかな。
            中身が正しかったら、表向き反発しても裏で対処するとかしないと…。
            対処しないということは、「中身が正しい」と判断できていないことになってしまうでしょう。
            • >> 中身がたとえ正しくても、反発されて、その先は聞いてもらえなく>> て当然だよね」
              >
              > ここだけはやっぱり受け容れがたいかな。

              正しくはその通りですね。私もそれについては本当は受け入れがたい。みんながそういう対応をしてくれれば問題はないんです。でも世の中はけっこう広くて「姿かたち」とか「対応のしかた」みたいな本質とは関係ないところで人の言っていることが本当かどうかを判断する、ということはけっこう多いんですよ。で、そういう人も相手にしておかないと「わかる人だけ」が相手になってしまって、結局office氏が主張する内
              • > 世の中はけっこう広くて「姿かたち」とか「対応のしかた」みたいな本質とは関係ないところ
                > で人の言っていることが本当かどうかを判断する、ということはけっこう多いんですよ。

                そういうところをあぶり出すことこそに意義があるのでは?

                > 世の中はけっこう広くて「姿かたち」とか「対応のしかた」みたいな本質とは関係ないところ
                > で人の言っ
      • 確かに。
        氏は脆弱性を見つけ次第脊髄反射で公開したりなどはしていないとおもったが。
        氏が公開してるやり取りを見るに、管理者サイド側も「あいたたた」な感じがする。

        性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
        • 性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
          有益なら何しても良いというご意見?
          まっ、米国民にとって有益だからアフガニスタン中に爆弾バラ撒くのもOKだし、日本の亡命/難民を受け入れないという政策にとって有益だから亡命者を中国の警察に渡しちゃうのもOKだしね。
          • office氏の行為のどこが「有益だが、してはいけないこと」なのかな?

            都合がいいが関連性の見えん例ではねぇ。
            • office氏の行為のどこが「有益だが、してはいけないこと」なのかな?
              他人の管理してるサイトから/etc/passwdファイルを盗むとか
              「できる」からといっても「やっちゃいけない」事だと思うよ。
              • それはまずいかもね。でもそれって XSS と関係あるの?
              • 事実へのポインタよろしく
              •  やってみないと出来るかどうかわからんし、「見れた」のであって、「盗んだ」わけではあるまい。まぁweb開発者ならわかりそうな理屈だが。

                たしかに微妙ではあるがね。しかし、やばいという事がわかったとして、黙ってほっとくか?、で、あとで本当のドロボウがあらわれて事件になると。
              • Tea Room for Conference [office.ac]No.#822-2
              • ここで議論の対象にするよりも早急に管理者に連絡を取り不正アクセス禁止法違反で検挙させた方がいいね。
                しゃれにならんわ。
              • いや、彼らはその辺の知識に詳しいので「不正アクセス禁止法に引っかからずにどこまで出来るか」は日々議論してますよ B-)。/.J を読んでいる人に「企業サイド」の人がこれほど多いのは意外だったが、彼らはあくまで「消費者サイド」に立ってるんだろうね。ラルフ・ネーダーなんかと並べて議論するのは過大評価か。

                ところで逆に、お粗末なシステムで大量の顧客情報を不正流出させてる企業を取り締まる法律、っつーのはないもんなのか?ページ上での陳謝だけでお茶を濁せる、っつーのは事件の重大性から考えて信じられないことだと思うんだが。現状だとたぶん個人ベースで実害を被った時に初めて個人ベースでその企業を訴えられる、というくらいなんだと思うが、流出した情報と実害 (変な Direct Mail/Email の増加は十分実害に値すると思うんだが) の相関を立証するのは極めて困難、とゆーあたりが弁護士を駆り立てて集団訴訟に持ってくには大きな障害っぽいしなぁ。

                ***

                「金、金、金の世の中デスカ?」じゃないけど、「コスト、コスト」と叫ぶ人達を見てると、ネットバブルでちょっと HTML がかけるくらいの人達が雨後の筍のように Web 製作会社を作ってしまったことで過当競争気味なのかねぇ、と思う。当事者は可哀想と思うけど、安易にビジネスをはじめてしまったツケが回ってきてるだけなような気もするな…。
                --
                Only Jav^Hpanese available :-)
                親コメント
              • 要するに、みんなカネないからカリカリしてる。
                それはしょうがないことだと思う。
                だから、「コスト」って言うんだ。

                > ラルフ・ネーダーなんかと並べて議論するのは過大評価か。

                これは明らかに過大評価。

                ラルフ・ネーダーはもっと「公明正大」だし、企業の人もなるべく不快にしないように配慮した言い方をするのに努力していますよ。少なくとも、企業の一担当者を責めたりとか、突然「企業の姿勢がなってない」と言うような、バックグラウンドをまったく無視した言い方はしない。ネーダーは、企業のバックグラウンドを詳細に調査し、そのうえ
              • フォロー感謝。

                ネーダーや、まぁ office さんみたいなある種の「運動家」は、ある程度支持者を得て影響力を持ってこそナンボな部分があるわけで、そのための大前提の部分からして雲泥の差がある、ということが、このトピックで皆がこれだけ議論 (?) していることの原因なんでしょうね。技術的、法律的、倫理的、まぁなんでも「正しい」ことを主張していれば、表現形はどうあれ最終的には認められるはず、という妄想は非現実的であるってことだな。結局のところ技術的、法律的、倫理的、学問的まぁなんでも、意見が受け入れられるか否かということも、人と人との関係性の強度、という意味の政治力に左右されることは免れないのだとゆー普通人にとっては当たり前の結論に落ち着くわけだ。

                ところで僕は office さん他についてそれほど詳しいわけじゃないんで、彼らの政治力が先の AC が書いたようにそれほど弱いのかどうかは定かではない (どっちかっつーと、皆がこれだけ知っている、というだけでも逆に相当なもんだと僕は思う)。そこんとこ、誤解しないで欲しい>皆の衆。

                #カネなくて余裕ない、とゆーのには全く同意。今のニッポンの状況を如実に表していますな。
                --
                Only Jav^Hpanese available :-)
                親コメント

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

処理中...