パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

The Cross Site Scripting FAQ」記事へのコメント

  • by Anonymous Coward
    XSSで引き起こされる被害というのは、大きく分けて
    • Cookieを盗まれる
    • ブラウザのセキュリティホールを突いてクライアントにいらん事される(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)

    という2種類ですよね。
    前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
    たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。

    • by Anonymous Coward
      > 更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。

      って、あのOfficeさんのこと?

      たしかに、手あたり次第にあちこちのサイト管理者にXSS脆弱性についてなにも考えずに注意しまくったり、XSS以外の周りのことが見えなかったり、
      • by Anonymous Coward on 2002年05月23日 8時35分 (#96574)
        まぁ、(自称)セキュリティ専門家なんてこんなもんよ。
        重箱の隅につついて、ほこりが出たら騒ぎ立てる。そうやってカネを得ようとするのが商売だからねぇ。仕方ないんじゃないすか。

        本当にいい人ならこっそり会社に教えて、ちゃんと対応すればそのまま音便に済ませるでしょう。しかし、(自称)セキュリティ専門家は対応しようとしまいと騒ぐからね。こうやって自分を広告するしかないんです。
        親コメント
        • by Anonymous Coward on 2002年05月23日 10時10分 (#96597)
          >本当にいい人ならこっそり会社に教えて、ちゃんと対応すればそのまま音便に済ませるでしょう。

          Office氏はそのように行動してるが何か?
          その上でちゃんと対応しないので公開してるのだが何か?

          #たしかに口は悪いけどね
          親コメント
          • その上でちゃんと対応しないので公開してるのだが何か?
            相手が自分の思う通りの行動を取らなかったからと言って騒ぎ立てるのは、右翼が街宣車で騒いでるのと一緒だね。
        • 彼(Office)も昔は「セキュリティーで金を取るのは最低だ」と格好いいことを主張していたけれど
          今じゃすっかり毒されたね。

          無償で電波を流す分には被害は限られていたが
          金が絡んできて彼の子

アレゲは一日にしてならず -- アレゲ見習い

処理中...