アカウント名:
パスワード:
という2種類ですよね。 前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。 たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
ニュース系サイトや、公的機関のWebPageとかで、ありもしない記事が、 さも*そのサーバー上に存在しているように見える* と言うのは脅威にはならないのでしょうか?
ちなみに、その脅威は、2000年2月のCERT Advisory CA-2000-02 [cert.org] で既に書かれていました。(このCA-2000-02ですが、なぜかcookieの盗み出しのことが書かれてないんですよね…。)
銀行などではログイン手続きの時には既にSSLが成立しているのに?というのはそれはさておき。 こんなすぐバレて、追跡し易く、かつ、きっちりと犯罪が成
銀行などではログイン手続きの時には既にSSLが成立しているのに?
どうにもなかなか正しく理解されないようですね…。
いっている意味がよくわからないのですが、SSLのX.509認証はなんのためにあるのでしょうか?
送付先は別サイトなのでは。 送付してから送付先の証明書を確認して、どうだというの?
送付してから送付先の証明書を確認して、どうだというの?
警告でませんか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
という2種類ですよね。
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Re:XSSで引き起こされる被害 (スコア:2, 参考になる)
>「XSS問題は全部Web作成者が責任持って解決すべきだ」とばかりに
>フォームさえあれば<S>hoge</S>とか書いて回るヤツははっきり言ってウザい。
>更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて
>「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。
それ以外にも、ページの改変を出来ます。
昔、Officeさんが首相官邸のXSS脆弱性を利用した
首相コメント(偽)を見れる
Re:XSSで引き起こされる被害 (スコア:2, 参考になる)
ちなみに、その脅威は、2000年2月のCERT Advisory CA-2000-02 [cert.org] で既に書かれていました。(このCA-2000-02ですが、なぜかcookieの盗み出しのことが書かれてないんですよね…。)
Re:XSSで引き起こされる被害 (スコア:0)
銀行などではログイン手続きの時には既にSSLが成立しているのに?というのはそれはさておき。 こんなすぐバレて、追跡し易く、かつ、きっちりと犯罪が成
Re:XSSで引き起こされる被害 (スコア:1)
どうにもなかなか正しく理解されないようですね…。
Re:XSSで引き起こされる被害 (スコア:0)
いっている意味がよくわからないのですが、SSLのX.509認証はなんのためにあるのでしょうか?
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:0)
不正アクセス禁止法には抵触しなさそう?
その暗証番号を使えば不正アクセス禁止法違反なのは当然。
結果的に迷惑を被れば原因を作ったものは全部偽計威力業務妨害なのかな。