アカウント名:
パスワード:
ショッピングサイトなど絶対的なセキュリティの求められるサイトでは、 クッキーの安易な使い方などはされていないと期待したいところですが、 どうもその期待は楽観的すぎるようなので . . .。
もちろんこういうときに、 ろくな対応がとれないだめなサイトを使っているユーザが悪いということはいくらでもいえますが、 だからといって見殺しにもできないですよねぇ。
スラッシュドットという、 それなりに大きなコミュニティを持つウェブサイトのトップページで、 しかも初心者にも分かるように懇切丁寧に攻撃のためのコードの書き方を解説しているのって、 危険性が増えるとかいう以前に、 やっぱりちょっと問題だと思います。
でも、今回のは、(最初のやつは厳密には XSS には分類されていないように)サイト管理者側では防ぎようがないですよねぇ。
IEが使いたいのならインターネットオプションのセキュリティ設定で、必要なサイトだけ信頼済みに入れてスクリプト可にし、それ以外は不可ではいかんのだろうか?
私なんかは極力IE以外を使いたいからこのような [srad.jp]手間かけてますけどね…
Microsoftのサイト“のみ”IEを使う。 私はそうしてます。
Windowsに標準で付属してる、Microsoftのサイト専用アクセスソフト。 そう思えば割と平和な気分でいられます。
うむ。 もちろん知ってるし、Microsoftのサイトが本当に信頼できるものだなんて思ってもいない。
んでも、あそこを見ないと仕事にならないケースが少なからずあったりするので、リスクは覚悟の上での処置でございます。
…見てるのは、ほとんどの場合MS製品の怪しげな挙動に対する対処法を知るためなので、あそこの製品がもう少しまともなものなら、今よりずっと平和になるのだがなぁ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
こんなに具体的に書いて、 (スコア:2, 興味深い)
ショッピングサイトなど絶対的なセキュリティの求められるサイトでは、 クッキーの安易な使い方などはされていないと期待したいところですが、 どうもその期待は楽観的すぎるようなので . . .。
use Test::More 'no_plan';
Re:こんなに具体的に書いて、 (スコア:2, 参考になる)
cookie以外にも注意すべき点がたくさんあるのですが、参考までにリンクを張っておきます。
「安全なWebアプリ開発 31箇条の鉄則」 [java-house.jp]
Re:こんなに具体的に書いて、 (スコア:1)
この情報で、攻撃手法は増えても、危機の度合いは変わらないのではないかと……
Re:こんなに具体的に書いて、 (スコア:2, 参考になる)
もちろんこういうときに、 ろくな対応がとれないだめなサイトを使っているユーザが悪いということはいくらでもいえますが、 だからといって見殺しにもできないですよねぇ。
スラッシュドットという、 それなりに大きなコミュニティを持つウェブサイトのトップページで、 しかも初心者にも分かるように懇切丁寧に攻撃のためのコードの書き方を解説しているのって、 危険性が増えるとかいう以前に、 やっぱりちょっと問題だと思います。
use Test::More 'no_plan';
Re:こんなに具体的に書いて、 (スコア:0)
Re:こんなに具体的に書いて、 (スコア:1)
use Test::More 'no_plan';
Re:こんなに具体的に書いて、 (スコア:0)
Re:こんなに具体的に書いて、 (スコア:1)
でも、今回のは、(最初のやつは厳密には XSS には分類されていないように)サイト管理者側では防ぎようがないですよねぇ。
use Test::More 'no_plan';
Re:こんなに具体的に書いて、 (スコア:1, 参考になる)
これの下のほうにまとまってる。
倉田わたるのミクロコスモス -- その小宇宙のごく一部から -- [neweb.ne.jp]
Re:こんなに具体的に書いて、 (スコア:0)
Re:こんなに具体的に書いて、 (スコア:0)
Re:こんなに具体的に書いて、 (スコア:0)
全くですねぇ。
ちょっとでもセキュリティが云々とか言ってる人にとって、Java Script, JScript を無効にするのは常識だと思っていたんですが、何から何まで教えて貰わないとダメですかねぇ?
Re:こんなに具体的に書いて、 (スコア:0)
サイトがスクリプトを切っていると使えません。(しかもIEでないと
ダメだったりします)
そういうサイトだけIE+スクリプト有効でアクセスして、それ以外は
スクリプトを切ったネスケを使ってますが、IEが安全に使えれば、
それに越したことはないと思います。
Re:こんなに具体的に書いて、 (スコア:1)
IEが使いたいのならインターネットオプションのセキュリティ設定で、必要なサイトだけ信頼済みに入れてスクリプト可にし、それ以外は不可ではいかんのだろうか?
私なんかは極力IE以外を使いたいからこのような [srad.jp]手間かけてますけどね…
Re:こんなに具体的に書いて、 (スコア:0)
じゃあ、SecurityFocus とか PacketStorm は即閉鎖ですね。
頑張って閉鎖させてください。
>危険性が増えるとかいう以前に、やっぱりちょっと問題だと思います
具体的には?
Re:こんなに具体的に書いて、 (スコア:0)
そう言ってる間にあなたが書けばいい。
何のためのコメント機能なんだか。
Re:こんなに具体的に書いて、 (スコア:0)
「IEのバグで~」と書かれているじゃないですか。
どうすれば「IEのバグ」の影響から逃れられるかは
自明だと思うんですけど。ムズカシイデスカ?
>しかも初心者にも分かるように懇切丁寧に攻撃のためのコードの書き方を解説しているのっ
Re:こんなに具体的に書いて、 (スコア:1)
今回のトピックに限らず、そういう人が実害受けたってわたしゃ知らんですよ。
Re:こんなに具体的に書いて、 (スコア:0)
知らなければ平気?
Re:こんなに具体的に書いて、 (スコア:1)
use Test::More 'no_plan';
Re:こんなに具体的に書いて、 (スコア:0)
Re:こんなに具体的に書いて、 (スコア:0)
Re:こんなに具体的に書いて、 (スコア:0)
Re:こんなに具体的に書いて、 (スコア:0)
却下するなら代替案出してくれ。他人の意見を却下するだけならどんな馬鹿でも出来るからな。
最近思うのですが、 (スコア:0)
と言うのが普通に出てくるのは、
所詮、理系、技術系の世界だけなのかも知れません。
私自身は理系でも技術系でも無いと思っていたのですが、
どうやら文系を自称する方々の多くには、
上のような理屈は理解すらして頂けない様で…。
結局、我々に
Re:最近思うのですが、 (スコア:0)
Re:こんなに具体的に書いて、 (スコア:0)
理論と論理の言葉の意味の違いを勉強しておこう。小学館類語例解辞典がわかりやすいよ。
Re:こんなに具体的に書いて、 (スコア:0)
ここに記事が載ろうと、載るまいと、
多くのユーザはこれらの危険にさらされているってことを
理解していますか?
Re:こんなに具体的に書いて、 (スコア:0)
情報を発信する人間にはそれなりに責任が発生するものだよ。
その責任を負えないのであれば黙っていれば良い。
別に世界はあなたの言葉など必要としていないんだから。
Re:こんなに具体的に書いて、 (スコア:0)
Re:こんなに具体的に書いて、 (スコア:0)
具体的に書いた結果危機感だけを抱いて問題点や対処法を
思いつかない人がでてきたわけですね。
Re:こんなに具体的に書いて、 (スコア:0)
>具体的に書いた結果危機感だけを抱いて問題点や対処法を
>思いつかない人がでてきたわけですね。
木のウロに手を突っ込んで中のドングリを握りしめて、
「手が抜けなくなっちゃったよどうしよう?」ってレベルの話だと
思うんですけど。
どうしましょう? :)
Re:こんなに具体的に書いて、 (スコア:1)
・IE(IEコンポーネントブラウザも含む)を使わない
以上!
個人的にはOperaかw3mがおすすめです
とはいっても パッチ置き場のマイクロソフトのサイトが他のブラウザだとボロボロだしなぁ
何とかしてくれマイクロソフト
>木のウロに手を突っ込んで中のドングリを握りしめて、
>「手が抜けなくなっちゃったよどうしよう?」ってレベルの話だと
>思うんですけど。
いっそWindowsと手を切るしか
# いいかげん乗り換えたいと思うけど 自分はいまだに手を切れてない
Re:こんなに具体的に書いて、 (スコア:2, 参考になる)
何とかしてくれマイクロソフト
Microsoftのサイト“のみ”IEを使う。
私はそうしてます。
Windowsに標準で付属してる、Microsoftのサイト専用アクセスソフト。
そう思えば割と平和な気分でいられます。
Re:こんなに具体的に書いて、 (スコア:0)
過去にそれすら危ない事がありましたが
結局アップデート以外使わないよう心掛けていますが...
#IE使わないとMSのサイトすら見ませんが、一般じゃ脆弱パッチの説明読んでも約に立ちませんよ。
#必要なのはアップデートだけです。
Re:こんなに具体的に書いて、 (スコア:1)
うむ。
もちろん知ってるし、Microsoftのサイトが本当に信頼できるものだなんて思ってもいない。
んでも、あそこを見ないと仕事にならないケースが少なからずあったりするので、リスクは覚悟の上での処置でございます。
…見てるのは、ほとんどの場合MS製品の怪しげな挙動に対する対処法を知るためなので、あそこの製品がもう少しまともなものなら、今よりずっと平和になるのだがなぁ。
Re:こんなに具体的に書いて、 (スコア:0)
>具体的に書いた結果危機感だけを抱いて問題点や対処法を
>思いつかない人がでてきたわけですね。
問題点を指摘されたとき、それへの対策を考えることをせず、
指摘した相手を疎む方向へ行動する人っていますよね。
で、そういう人って結構いるような気がするのですけど、
どうしたら、穏やかに理解してもらえるものですかね。
Re:ユーザの選択とは言うが (スコア:0)
JScriptは切れますよ、切るとメタメタでしょう、
だから入れれば…危ないと。選択と言うが選択の余地がないように思えますがね。
他だと表示に問題があっても被害を考えると軽微ですからね。
一般常識としてユーザは
Re:こんなに具体的に書いて、 (スコア:1)
use Test::More 'no_plan';
Re:こんなに具体的に書いて、 (スコア:0)