アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
主張の解読を試みる (スコア:1, 興味深い)
不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。
> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」
実装上の脆弱性は全て保護対象外という主
解説(Flamebait? -1) (スコア:3, 参考になる)
>不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
>#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。
全て保護対象外です。
原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。
>> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」
>実装上の脆弱性は全て保護対象外という主張のようですね。
Re:解説(Flamebait? -1) (スコア:2, 興味深い)
アクセス制御をしている「ツモリ」(主観)の
運営者、製造者がいたとします。
しばしば、SQLinjectionやXSSは【非常に単純な】
設計上もしくは実装上の漏れです。素人でも見つけられますね。
このような単純ミスの場合には、ディレクトリ丸裸と同様に
アクセス制御機構が働いていたとは見做しにくいものです。
CGIやWebアプリを作成した時に、未知のXSS脆弱性や
未知のSQLinjectionを作りこんでしまった、、ということは
考えられません。タネはとっくの昔に割れているものです。
設計者や製造者、運営者は、既知の基本的なセキュリティー上
の防止策を実装
| 慈愛こそ慈愛
自己レス追加 (スコア:1)
おおざっぱにいえば、URL(URI)はプロトコル別にRFCで定義されて
いますし、実はRFCで未定義であって別途定めるW3Cの規定により
定められるURLもあります。
このたび問題になったCGIのだらしない作り方を詳しく調べましたら
次のようなことがわかりました。すなわち、上で書いた標準的な書法
で記述されたURLの形式で、晒された個人情報に到達できてしまうの
です。言い換えますと、代表的なブラウザであれば、あなたがブラウ
ザを起動後、このURLをアドレスバーにいれてエンターキーを叩けば
問題の個人情報がブラウザの画面に表示されるのです。
このようなシステムが果して個人情報へのアクセス制御をしていたと
言えるでしょうか?まさしくディレクトリ丸見えの延長上にあるので
す。どこか不特定多数が訪問する掲示板やフォーラムなどで、この
URLを晒したり、あるいはリンクを作っておいたりしたら、不特定
多数がアクセス制御を侵犯したことに、、ならないですよねぇ。。。
そのぐらい今回の森川氏謹製のCGIはだらしないものなのです。
ちなみにこのCGIはmethod=POSTであることは上の論議に折込済みで
す。
あ、余談ながら、この際ですので言っておきましょう。Web画面から
メールを飛ばすFORMのCGIを良く見かけます。HTMLソース表示をして
みたら宛先がform内に書いてあることが極めて多いですよね。もう、
その瞬間スパム送り放題なのですがいいのですかねぇ。これなども
異常に古典的なものなのですが。もし皆さんがたまたま使おうとした
そのようなCGIが変な作りになっていたら、作成者に是非メールで
注意してあげてください。
office氏の場合には、メールの宛先ではなく、ファイル表示パスが
FORM内に書いてあっただけですが、ヨワヨワですねぇ。
| 慈愛こそ慈愛
Re:自己レス追加 (スコア:1)
ぜんぜん話が違うような。
Re:自己レス追加 (スコア:0)
>問題の個人情報がブラウザの画面に表示されるのです。
そういう嘘を平然と書けるってのはどういう神経してるんだろうなぁ。
Re:自己レス追加 (スコア:1)
>>あなたがブラウ ザを起動後、このURLを
>>アドレスバーにいれてエンターキーを叩けば
>>問題の個人情報がブラウザの画面に表示されるのです。
>そういう嘘を平然と書けるってのはどういう神経してるんだろうなぁ。
あ、これは複数の人に確認をとってあってもらっているんで
大丈夫ですよ。私のバカな法律の解釈論とは異なりましてPoCですので。(^^)
Proof of ContentなURLが実在するんです。
>そういう嘘
という名前の予想をくつがえす反例を作ることは
しばしば予想を証明することよりも簡単です。
かたや全面戦争ですし、かたや、運が良ければ一点突破でOKですので。
| 慈愛こそ慈愛
Re:自己レス追加 (スコア:0)
>大丈夫ですよ。私のバカな法律の解釈論とは異なりましてPoCですので。(^^)
>Proof of ContentなURLが実在するんです。
へ~、ほ~、ふ~ん。で
Re:自己レス追加 (スコア:0)
Proof of Content
なんですか?それ?