パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

The Cross Site Scripting FAQ」記事へのコメント

  • by Anonymous Coward
    XSSで引き起こされる被害というのは、大きく分けて
    • Cookieを盗まれる
    • ブラウザのセキュリティホールを突いてクライアントにいらん事される(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)

    という2種類ですよね。
    前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
    たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。

    • by Anonymous Coward
      > 更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。

      って、あのOfficeさんのこと?

      たしかに、手あたり次第にあちこちのサイト管理者にXSS脆弱性についてなにも考えずに注意しまくったり、XSS以外の周りのことが見えなかったり、
      • 確かに。
        氏は脆弱性を見つけ次第脊髄反射で公開したりなどはしていないとおもったが。
        氏が公開してるやり取りを見るに、管理者サイド側も「あいたたた」な感じがする。

        性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
        • 性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
          有益なら何しても良いというご意見?
          まっ、米国民にとって有益だからアフガニスタン中に爆弾バラ撒くのもOKだし、日本の亡命/難民を受け入れないという政策にとって有益だから亡命者を中国の警察に渡しちゃうのもOKだしね。
          • office氏の行為のどこが「有益だが、してはいけないこと」なのかな?

            都合がいいが関連性の見えん例ではねぇ。
            • office氏の行為のどこが「有益だが、してはいけないこと」なのかな?
              他人の管理してるサイトから/etc/passwdファイルを盗むとか
              「できる」からといっても「やっちゃいけない」事だと思うよ。

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...