パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

The Cross Site Scripting FAQ」記事へのコメント

  • by Anonymous Coward
    XSSで引き起こされる被害というのは、大きく分けて
    • Cookieを盗まれる
    • ブラウザのセキュリティホールを突いてクライアントにいらん事される(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)

    という2種類ですよね。
    前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
    たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。

    • by Anonymous Coward on 2002年05月23日 15時14分 (#96759)
      脆弱なのはブラウザなんだよ!!
      正確には『XSS 脆弱性を持つサイトで Cookie を盗まれうるのはブラウザが脆弱だからなんだよ!!』かね。

      しかしブラウザが脆弱であったとしても XSS 脆弱性がなければこの問題が原因で Cookie が盗まれることはない。
      脆弱なのはサイトなんだよ!!

      冗談はともかく脆弱なブラウザがこれだけ蔓延してる世の中ではサイトの XSS 脆弱性が即 Cookie を盗まれる危険性につながる事例が多いだろう。セキュリティパッチ適用せずに使っているクライアントの責任? そりゃ世間の実状を無視しすぎってもんだろ? ;-)
      親コメント
      • ブラウザの脆弱性とは独立です。cookieを盗まれるのは、
        • サイトに脆弱性がある
        • ブラウザに脆弱性がある
        のどちらか一方または両方のときということです。 以下のことなら言えます。
        • サイトがいくら対策しても、ブラウザにパッチをあてていないのなら危険
        • ブラウザにいくらパッチをあてていても、対策していないサイトを利用してしまうと危険
        親コメント
      • ブラウザもサイトもどっちもどっち。 バカとアホのどっちがマヌケだと尋ねられても困ると思われ。

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...