パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Web制作者の常識、開発エンジニアの常識」記事へのコメント

  • 「HTMLに詳しくないと理解できない脆弱性もある」って具体的になんだろう。「CSSXSS」とかはそうかも知れないけど、そういうサイトを作りたいわけじゃないなら関係無い気がする。
    『システム会社は「HTMLの知識が9年前のまま」』で必要充分だと思うんですが...
    • とりあえず、公開されているプレゼンテーションの資料をよんでみてください。
      • 読んだけどピンと来ませんでした。

        ・JavaScriptの知識が必要
        ・SSLの知識が必要
        当然そう思いますが、それってHTMLじゃないような...

        HTMLタグが書ける掲示板が例に挙がってましたが、そんなシステムの方が少数派かなと思います。勿論、掲示板システムを作るのであれば、HTMLに詳しく無いといけないとは思いますけど。
        が、それをもって「HTMLを知らないとセキュアなWebシステムが作れない」とするのは乱暴な気がします。それは「Webシステムを作る為には対象の業務知識が必要」という事とほぼ同義で、その「業務知識」が掲示板システムにおいては「HTMLタグ」でしたという話かなと思います。

        • タグが書ける掲示板の話でいうと、SCRIPT要素などが書ける事によりJavaScriptが発動することにより、たとえばXSS脆弱性に繋がることがある、という話で、とある事例では、

          ・SCRIPT要素は書けない。
          ・A要素のHREF属性に、javascriptスキームの値は書けない(というかscriptという文字列を含む値が書けない)。

          という実装仕様だったけど、実装者は数値文字参照のことを知らなかった(HTMLの仕様を知らなかった)。そのため、

          <a href="javascript:alert('XSS');">click me</a>

          はフィルタを貫通して書き込めた。その後、数値文字参照については対応されたようだが、実
          • ひとつめの貫通した例の数値文字参照が、展開されてしまっているようなので、文章としてうまくないので訂正させてください。

            一つ目の貫通した例は、

            <a href="javascrip&#116;:alert('XSS')>click me</a>

            です。

            # 蛇足ながら、つまりslashcodeは数値文字参照の最後のセミコロンが省略できることを知らない(あるいは、省略したものは数値文字参照として扱われない)ということなのだな、と……。
            親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...