アカウント名:
パスワード:
という2種類ですよね。 前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。 たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
office氏の行為のどこが「有益だが、してはいけないこと」なのかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
という2種類ですよね。
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Officeさんのこと? (スコア:-1)
って、あのOfficeさんのこと?
たしかに、手あたり次第にあちこちのサイト管理者にXSS脆弱性についてなにも考えずに注意しまくったり、XSS以外の周りのことが見えなかったり、
Re:Officeさんのこと? (スコア:0)
氏は脆弱性を見つけ次第脊髄反射で公開したりなどはしていないとおもったが。
氏が公開してるやり取りを見るに、管理者サイド側も「あいたたた」な感じがする。
性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
Re:Officeさんのこと? (スコア:0)
まっ、米国民にとって有益だからアフガニスタン中に爆弾バラ撒くのもOKだし、日本の亡命/難民を受け入れないという政策にとって有益だから亡命者を中国の警察に渡しちゃうのもOKだしね。
Re:Officeさんのこと? (スコア:0)
都合がいいが関連性の見えん例ではねぇ。
Re:Officeさんのこと? (スコア:0)
「できる」からといっても「やっちゃいけない」事だと思うよ。
Re:Officeさんのこと? (スコア:0)
たしかに微妙ではあるがね。しかし、やばいという事がわかったとして、黙ってほっとくか?、で、あとで本当のドロボウがあらわれて事件になると。