アカウント名:
パスワード:
という2種類ですよね。 前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。 たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
その上でちゃんと対応しないので公開してるのだが何か?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
という2種類ですよね。
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Officeさんのこと? (スコア:-1)
って、あのOfficeさんのこと?
たしかに、手あたり次第にあちこちのサイト管理者にXSS脆弱性についてなにも考えずに注意しまくったり、XSS以外の周りのことが見えなかったり、
Re:Officeさんのこと? (スコア:1, 参考になる)
重箱の隅につついて、ほこりが出たら騒ぎ立てる。そうやってカネを得ようとするのが商売だからねぇ。仕方ないんじゃないすか。
本当にいい人ならこっそり会社に教えて、ちゃんと対応すればそのまま音便に済ませるでしょう。しかし、(自称)セキュリティ専門家は対応しようとしまいと騒ぐからね。こうやって自分を広告するしかないんです。
Re:Officeさんのこと? (スコア:1, 参考になる)
Office氏はそのように行動してるが何か?
その上でちゃんと対応しないので公開してるのだが何か?
#たしかに口は悪いけどね
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:0)
で、その危険な橋つくった連中を非難するのも。
#たしかに口は悪いが
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:0)
今じゃすっかり毒されたね。
無償で電波を流す分には被害は限られていたが
金が絡んできて彼の子