アカウント名:
パスワード:
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
In either case, developers SHOULD NOT include either 'unsafe-inline', or data: as valid sources in their policies. Both enable XSS attacks by allowing code to be included directly in the document itself; they are best avoided completely.
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
攻撃者が自分のサイトに設置するんなら最初からCSP自体設定しなければいいのでは。
今回の話は'unsafe-inline'な設定の標的サイトに対して、攻撃者がXSSな投稿を行い、それをEdgeで踏んだ場合に、親コメントに有るような小細工無しで「window.open()→document.write()→CSP未設定なabout:blank経由で任意のサイトへアクセス→CSRFまたはXSSにより取られたデータの外部送信」が発生するって脆弱性だと思うのですが。
同一生成元ポリシーで別オリジンと判定されてもリクエストを飛ばす類の事は大体問題なく許可されます。CORSで利用を許可する方法からしてレスポンスからヘッダを確認とかなので、リクエストは飛んでしまいます。CORSで許可されないと無理なのは取得した内容の利用や操作だけでブラウザ上の表示とかは普通に行われます。
なのでXSSした標的のサイトから取ったデータを攻撃者が管理するサーバに送るのに制限はありませんし、Access-Control-Allow-Originをつければ次の操作指示を流し込むことも出来ます。CSRFを行う場合はCSRF先の防御状態に依存するのでなんともいえませんけ
#3277042 の内容は、もう 'unsafe-inline' を使うかどうかと関係ない話になってるのでその領域まで行ってしまった推測はほぼ確実に間違った解釈だろうと言える
また、このコメの流れを見ればわかる通り、 headless 自体が今回の脆弱性の内容を正しく理解できていない誤った脆弱性情報を流すことはまさにそれ自体が社会の迷惑以外の何物でもないので可能であればいったんストーリー自体を取り下げるか、大幅修正するべきだろう
そもそもなぜそんな曖昧な認識のまま、あたかもMSが悪かのようなタイトルで記事を掲載してしまったのかスラドそのものの体制から見直すべきいい機会だと思う
#3277042は#3277037のコメントに対する返信なのでCSP未設定の場合の話であってますよ。headless氏の誤解を前提とすると矛盾が生じるって話なので。
> あたかもMSが悪かのようなタイトルで記事を掲載してしまったのか確かにheadless氏は攻撃手順を誤解してはいるようですが、'unsafe-inline'なCSP制限下で制限を回避できてしまうのは事実ですし、#3276913の内容を見ると分かるようにCSP3(のnon-normativeな項目)ではCSPは継承するべきとされるようです。CSP2では該当箇所が見当たらないのでCSP2ではリーガルな挙動であり、MSはCSP3のnon-normativeな項目にはまだ対応していないってだけといえばそれだけですけど。
> 可能であればいったんストーリー自体を取り下げるか防御手段が存在し最新の仕様ではバグとなる挙動であればストーリーにするべきではないというほど根拠のない話ではないですし、かといってunsafeと明言された'unsafe-inline'制約下でXSS許す前提が必要な時点で仕様判断も決定的な間違いではないでしょう。丁度議論ができる程度の話題なんだからストーリーにすること自体は問題ないと思います。攻撃手順に関する誤解を訂正さえすれば。
今回の件でいえば、 headless 氏が
「すべての外部サイトに対して攻撃者が好きに攻撃し放題の重大脆弱性なんだ、それをMSだけ修正しないんだ」
と一人で勘違いした結果、ストーリーのタイトルや文面がMSに対して強い攻撃性を持った内容になっていることが重大な問題
もっと言えばタイミングも最悪で、9/12の某林檎イベントの直前となっているイベントの前に何が何でもMSを叩きたいという思考が暴走した結果の勘違い(または意図的なフェイクニュース)と思われても仕方がない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
そもそも 'unsafe-inline' は危険なので使うべきではないとW3C勧告に書かれている (スコア:3)
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
そういう問題ではない (スコア:1)
Re: (スコア:1)
攻撃者が自分のサイトに設置するんなら最初からCSP自体設定しなければいいのでは。
今回の話は'unsafe-inline'な設定の標的サイトに対して、攻撃者がXSSな投稿を行い、
それをEdgeで踏んだ場合に、親コメントに有るような小細工無しで
「window.open()
→document.write()
→CSP未設定なabout:blank経由で任意のサイトへアクセス
→CSRFまたはXSSにより取られたデータの外部送信」
が発生するって脆弱性だと思うのですが。
Re: (スコア:1)
Re: (スコア:0)
同一生成元ポリシーで別オリジンと判定されてもリクエストを飛ばす類の事は大体問題なく許可されます。
CORSで利用を許可する方法からしてレスポンスからヘッダを確認とかなので、リクエストは飛んでしまいます。
CORSで許可されないと無理なのは取得した内容の利用や操作だけでブラウザ上の表示とかは普通に行われます。
なのでXSSした標的のサイトから取ったデータを攻撃者が管理するサーバに送るのに制限はありませんし、
Access-Control-Allow-Originをつければ次の操作指示を流し込むことも出来ます。
CSRFを行う場合はCSRF先の防御状態に依存するのでなんともいえませんけ
Re: (スコア:0)
#3277042 の内容は、もう 'unsafe-inline' を使うかどうかと関係ない話になってるので
その領域まで行ってしまった推測はほぼ確実に間違った解釈だろうと言える
また、このコメの流れを見ればわかる通り、 headless 自体が今回の脆弱性の内容を正しく理解できていない
誤った脆弱性情報を流すことはまさにそれ自体が社会の迷惑以外の何物でもないので
可能であればいったんストーリー自体を取り下げるか、大幅修正するべきだろう
そもそもなぜそんな曖昧な認識のまま、
あたかもMSが悪かのようなタイトルで記事を掲載してしまったのか
スラドそのものの体制から見直すべきいい機会だと思う
Re:そういう問題ではない (スコア:0)
#3277042は#3277037のコメントに対する返信なのでCSP未設定の場合の話であってますよ。
headless氏の誤解を前提とすると矛盾が生じるって話なので。
> あたかもMSが悪かのようなタイトルで記事を掲載してしまったのか
確かにheadless氏は攻撃手順を誤解してはいるようですが、
'unsafe-inline'なCSP制限下で制限を回避できてしまうのは事実ですし、
#3276913の内容を見ると分かるようにCSP3(のnon-normativeな項目)ではCSPは継承するべきとされるようです。
CSP2では該当箇所が見当たらないのでCSP2ではリーガルな挙動であり、
MSはCSP3のnon-normativeな項目にはまだ対応していないってだけといえばそれだけですけど。
> 可能であればいったんストーリー自体を取り下げるか
防御手段が存在し最新の仕様ではバグとなる挙動であればストーリーにするべきではないというほど根拠のない話ではないですし、
かといってunsafeと明言された'unsafe-inline'制約下でXSS許す前提が必要な時点で仕様判断も決定的な間違いではないでしょう。
丁度議論ができる程度の話題なんだからストーリーにすること自体は問題ないと思います。
攻撃手順に関する誤解を訂正さえすれば。
Re: (スコア:0)
今回の件でいえば、 headless 氏が
「すべての外部サイトに対して攻撃者が好きに攻撃し放題の重大脆弱性なんだ、それをMSだけ修正しないんだ」
と一人で勘違いした結果、
ストーリーのタイトルや文面がMSに対して強い攻撃性を持った内容になっていることが重大な問題
もっと言えばタイミングも最悪で、9/12の某林檎イベントの直前となっている
イベントの前に何が何でもMSを叩きたいという思考が暴走した結果の勘違い(または意図的なフェイクニュース)と思われても仕方がない