Re:どうでもいい疑問 (#71369) | .co.jp 17万件のサーバー調査

「.co.jp 17万件のサーバー調査」記事へのコメント

記事ページを表示すべてのコメント取得

検索61コメント Log In/Create an Account

どうでもいい疑問 (スコア:1)

by gachon (4163)

脆弱性のチェックって許可とってやったのかなぁ？
アレだけの母体数だったら許可なんて取ってられないし

バナーだけで判断かな？
あとクロスサイトスクリプティングは脆弱性に含まれているのだろうか？
これを含めるともっとありそうな気がしないでもない
- Re:どうでもいい疑問 (スコア:1, 参考になる)
  
  by es++ (5434) on 2002年03月13日 16時20分 (#71369) 日記
  
  >あとクロスサイトスクリプティングは脆弱性に含まれているのだろうか？
  
  含んでいないと思います。
  
  原則的に、XSS(クロスサイトスクリプティング)脆弱性はサーバーソフトウェアそのもののバージョンではなく、そのサーバーソフトウェア上で動作させているアプリケーションの製造上の欠陥に由来します。
  
  例えば、とあるweb掲示板にXSS脆弱性が存在していた場合、まず問題となるのはそのweb掲示板そのもののソースコードであって、サーバーソフトウェアではありません。
  
  従って、どんなにApacheやPerl、PHP、Servletエンジンなどを最新版にしてもそれを用いたアプリケーションの製造者にXSS脆弱性に対する認識が欠けていた場合、XSS脆弱性は容易に発生します。
  
  ですから、XSS脆弱性のチェックと称してサーバーソフトウェアのバージョンを調べるのはチェックになっていません。
  
  # 間違いがありましたら訂正を > 識者のかた
  
  シェア
  
  親コメント
  - 識者ではありませんが、、、 (スコア:1)
    
    by Technical Type (3408) on 2002年03月13日 21時42分 (#71420)
    
    Cros s-Site Scripting問題とは？ [wakwak.com]や Cross Site Scripting Info、 [apache.org]Apach e 1.3.12 文字化け問題 [asahi-net.or.jp] などを参考に、私ももっと勉強しようと思いましたが、、、 Apache も 1.3.12 より前は、サーバー側でチェックをしていない分、それ以降のバージョンより脆弱性が発生しやすいという意味で弱い、という考えもありかな、、、と。
    
    シェア
    
    親コメント
  - Re:どうでもいい疑問 (スコア:0)
    
    by Anonymous Coward
    
    ですから、XSS脆弱性のチェックと称してサーバーソフトウェアのバージョンを調べるのはチェックになっていません。
    
    「サーバーのバージョンが十分に新しくても、それでXSS脆弱性が無いということにはならない」…それはあなたのおっしゃる通り。
    しかし、サーバーのバージョンが古
    - Re:どうでもいい疑問 (スコア:1)
      
      by es++ (5434) on 2002年03月14日 0時30分 (#71470) 日記
      
      >しかし、サーバーのバージョンが古いと、サーバー自体にXSS脆弱性
      >があるのですよ。とにかく一度この文書 [etl.go.jp] を読むと良
      >いですよ。
      
      それは知っています。ですから最初に「原則的に」と書きました。
      サーバーのバージョンのチェックでXSS脆弱性について判断するのは片手落ちも甚だしい、というのが私の主張です。
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

.co.jp 17万件のサーバー調査 More ログイン

「.co.jp 17万件のサーバー調査」記事へのコメント

どうでもいい疑問 (スコア:1)

Re:どうでもいい疑問 (スコア:1, 参考になる)

識者ではありませんが、、、 (スコア:1)

Re:どうでもいい疑問 (スコア:0)

Re:どうでもいい疑問 (スコア:1)

スラド