パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

The Cross Site Scripting FAQ」記事へのコメント

  • by Anonymous Coward
    XSSで引き起こされる被害というのは、大きく分けて
    • Cookieを盗まれる
    • ブラウザのセキュリティホールを突いてクライアントにいらん事される(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)

    という2種類ですよね。
    前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
    たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。

    • by Anonymous Coward
      > 更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。

      って、あのOfficeさんのこと?

      たしかに、手あたり次第にあちこちのサイト管理者にXSS脆弱性についてなにも考えずに注意しまくったり、XSS以外の周りのことが見えなかったり、
      • 確かに。
        氏は脆弱性を見つけ次第脊髄反射で公開したりなどはしていないとおもったが。
        氏が公開してるやり取りを見るに、管理者サイド側も「あいたたた」な感じがする。

        性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
        • 性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
          有益なら何しても良いというご意見?
          まっ、米国民にとって有益だからアフガニスタン中に爆弾バラ撒くのもOKだし、日本の亡命/難民を受け入れないという政策にとって有益だから亡命者を中国の警察に渡しちゃうのもOKだしね。
          • office氏の行為のどこが「有益だが、してはいけないこと」なのかな?

            都合がいいが関連性の見えん例ではねぇ。
            • office氏の行為のどこが「有益だが、してはいけないこと」なのかな?
              他人の管理してるサイトから/etc/passwdファイルを盗むとか
              「できる」からといっても「やっちゃいけない」事だと思うよ。
              • 事実へのポインタよろしく
              • Tea Room for Conference [office.ac]No.#822-2
              • by Anonymous Coward on 2002年05月26日 5時18分 (#97929)
                ここで議論の対象にするよりも早急に管理者に連絡を取り不正アクセス禁止法違反で検挙させた方がいいね。
                しゃれにならんわ。
                親コメント
              • いや、彼らはその辺の知識に詳しいので「不正アクセス禁止法に引っかからずにどこまで出来るか」は日々議論してますよ B-)。/.J を読んでいる人に「企業サイド」の人がこれほど多いのは意外だったが、彼らはあくまで「消費者サイド」に立ってるんだろうね。ラルフ・ネーダーなんかと並べて議論するのは過大評価か。

                ところで逆に、お粗末なシステムで大量の顧客情報を不正流出させてる企業を取り締まる法律、っつーのはないもんなのか?ページ上での陳謝だけでお茶を濁せる、っつーのは事件の重大性から考えて信じられないことだと思うんだが。現状だとたぶん個人ベースで実害を被った時に初めて個人ベースでその企業を訴えられる、というくらいなんだと思うが、流出した情報と実害 (変な Direct Mail/Email の増加は十分実害に値すると思うんだが) の相関を立証するのは極めて困難、とゆーあたりが弁護士を駆り立てて集団訴訟に持ってくには大きな障害っぽいしなぁ。

                ***

                「金、金、金の世の中デスカ?」じゃないけど、「コスト、コスト」と叫ぶ人達を見てると、ネットバブルでちょっと HTML がかけるくらいの人達が雨後の筍のように Web 製作会社を作ってしまったことで過当競争気味なのかねぇ、と思う。当事者は可哀想と思うけど、安易にビジネスをはじめてしまったツケが回ってきてるだけなような気もするな…。
                --
                Only Jav^Hpanese available :-)
                親コメント
              • 要するに、みんなカネないからカリカリしてる。
                それはしょうがないことだと思う。
                だから、「コスト」って言うんだ。

                > ラルフ・ネーダーなんかと並べて議論するのは過大評価か。

                これは明らかに過大評価。

                ラルフ・ネーダーはもっと「公明正大」だし、企業の人もなるべく不快にしないように配慮した言い方をするのに努力していますよ。少なくとも、企業の一担当者を責めたりとか、突然「企業の姿勢がなってない」と言うような、バックグラウンドをまったく無視した言い方はしない。ネーダーは、企業のバックグラウンドを詳細に調査し、そのうえ
              • フォロー感謝。

                ネーダーや、まぁ office さんみたいなある種の「運動家」は、ある程度支持者を得て影響力を持ってこそナンボな部分があるわけで、そのための大前提の部分からして雲泥の差がある、ということが、このトピックで皆がこれだけ議論 (?) していることの原因なんでしょうね。技術的、法律的、倫理的、まぁなんでも「正しい」ことを主張していれば、表現形はどうあれ最終的には認められるはず、という妄想は非現実的であるってことだな。結局のところ技術的、法律的、倫理的、学問的まぁなんでも、意見が受け入れられるか否かということも、人と人との関係性の強度、という意味の政治力に左右されることは免れないのだとゆー普通人にとっては当たり前の結論に落ち着くわけだ。

                ところで僕は office さん他についてそれほど詳しいわけじゃないんで、彼らの政治力が先の AC が書いたようにそれほど弱いのかどうかは定かではない (どっちかっつーと、皆がこれだけ知っている、というだけでも逆に相当なもんだと僕は思う)。そこんとこ、誤解しないで欲しい>皆の衆。

                #カネなくて余裕ない、とゆーのには全く同意。今のニッポンの状況を如実に表していますな。
                --
                Only Jav^Hpanese available :-)
                親コメント

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...