パスワードを忘れた? アカウント作成
725266 journal

k3cの日記: slashcodeのXSS脆弱性 15

日記 by k3c

についての、産業技術総合研究所・高木浩光氏のレポートが出ていたので、備忘録代わりにメモ。

[memo:3132] Slashdotにおけるクロスサイトスクリプティング脆弱性がもたらす脅威

あと、それに対するofficeさんの反応

一般的な傾向として、確かにセキュリティ絡みの連絡先が分かり難いというのはある。そういうのも件のRFC(まだInternet Draft)に準拠する形で修正されていくといいのだけど。
slashdot.jpについては、バグ報告なんていうページも作られたようだし、officeさんの行動がいい方向へ影響していると思う。
slashdot.orgは、元々個人が立ち上げて、その後VA Linuxに買収されて、しかし運営の権限は元のまま、というちょっと特殊な形態なので、slashcodeとosdn.comのエンジンは全く別のヒトが管理している全く別のコードと思った方がいいでしょう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2002年03月06日 7時10分 (#69254)
    Officeさんについては、About us [srad.jp]位読んで、という気がしないでもない。
    焦っていると気がつかないのかもしれないが。

    #本人にどう伝えるべきか迷っているので匿名御免。
    • by k3c (4386) on 2002年03月06日 13時35分 (#69395) ホームページ 日記
      > #本人にどう伝えるべきか迷っているので匿名御免。

      意味がわかりません。…いや、別に匿名でも構いませんが。

      ワタシは脆弱性を見つけて報告したことがないのでofficeさんの「工数」というのがどういうことなのかよく分からないのですが、たぶん、「ここだ」と思った連絡先にメールや何やら送っても、「そういうハナシならhogehoge@funifuniへメールしてね」とか言われるばっかりで手間がかかってしょうがない。ということが言いたいのではないでしょうか。

      /.Jだって、「バグ報告」のページができるまではバグをタレコんで、「却下」されて終わり、という、かなりTrustworthyでない対応しかしてませんでしたよね。(今でもカスタマイズがらみは全部そう)それは、他のサイトの対応と比較するとやはりお粗末と言えるのではないでしょうか。

      ワタシは今のところ、タレコんだバグが「却下」されてFixされていることを自分で確認してそれで終わり、なので別に不便を感じていません。件のXSS(クロスサイトスクリプティング)脆弱性関連以外では。なので、高木さんのレポートの末尾にあった「セッションcookieを保存しない、不用意にリンクを踏まない」というのは、ワタシにとって現在かなり魅力的なオプションです。利便性と秤にかけて、今のところセッションcookieは保存していますが…。

      せっかくSlashセクションがあるのだから、セクションonlyのトピックとしてどんどんバグ修正を投稿すればいいのに、と思います。障害報告だけじゃなく。Linuxカーネルのアップデートばかり追いかけてないで。などと。
      親コメント
      • by Anonymous Coward
        あー、そうか。むしろFAQのこっち [archive.org](01/08/23の状態)だ。
        確かに「サイトを作り替えて」いるわけだわねぇ…。
        困ったものだ。>スラッシュチーム [mailto]
        • by k3c (4386) on 2002年03月07日 13時57分 (#69770) ホームページ 日記
          メタFAQ [srad.jp]は現在の/.Jサイトにもそのままの状態で載っていますが、それをわざわざweb.archive.orgから引いてくるのはなぜですか?

          今はもう無くなったかのように思い込ませたいのでしょうか?
          親コメント
          • by Anonymous Coward
            逆。
            高木氏とoffice氏がなぜ全く異なった反応を食らったのか、の問題。

            今回の問題は、運営側において「オレは客だ」的態度を嫌う2ちゃんねる的発想がもろに出てしまったためのように思う。
            協力者を呼ぶ段階としてのプロモーションとしては、それじゃだめなんですけどね。

            PC-UNIX文化自体が「スクリプトっておいしいの
            • by k3c (4386) on 2002年03月08日 13時03分 (#70016) ホームページ 日記
              ワタシは

              > > メタFAQ(中略)をわざわざweb.archive.orgから引いてくるのはなぜですか?
              > > 今はもう無くなったかのように思い込ませたいのでしょうか?

              と質問しました。それに対する貴方の答えは、

              > 逆。
              > 高木氏とoffice氏がなぜ全く異なった反応を食らったのか、の問題。

              ですか。

              高木氏とofficeさんが「異なった反応を食らった」(ワタシはそう確信するに足るだけの情報を持っていませんが…)ことと、web.archive.orgから昔のデータを(今も変わらずそこにあるにもかかわらず)引っ張り出してくることと、何がどう「逆。」なのか、ワタシにはさっぱり分かりません。
              ワタシはどうやら貴方より頭が悪いようなので、もう少し筋道立てて説明していただけると有難いです。
              親コメント
              • by Anonymous Coward
                まず、 #69254 [srad.jp]でabout us [srad.jp]を持ち出したのは、当方の検討不足による誤りだ。済まぬ。

                web.archive.orgから昔のデータを(今も 変わらずそこにあるにもかかわらず)引っ張り出してくること

                office氏が交渉開始時に該当の文書を読めたと言うことが大事。

                私の知る限りslashmaster@slashdot.jpはそれまでバナー募集 [ryukoku.ac.jp]
                http://srad.jp/prettypictures.shtml
                の応募先としてしか用いられていなかったように思います。

                と比べれば眼前にあったFAQを読まずに事に着手したことは明らか。だから#70012 [srad.jp]でFAQを読まない横紙破りと言っている。
                その程度で過敏な警戒をすることはスラッシュチーム [mailto]がやっては

              • by k3c (4386) on 2002年03月10日 2時12分 (#70420) ホームページ 日記
                なるほど。大体のところは分かりました。丁寧なご説明ありがとうございます。
                で、一点だけ。

                > そうでなかったら、ここまで話はこじれまいし、もっと早い段階で自らコードの精査に乗り出しているはず。

                えーと、以下は、決して誰かを非難するとかそういう意図で書くのではないのですが…。

                セキュリティについては自分たちでなくSlashcode開発チームに対応してもらいたかったんじゃないでしょうか。その方が(Slashcodeを使ってWebサイトを運営しているヒト)全員がシアワセになれるし、自分たちも楽だし。そういう観点から、バグ報告ページ [srad.jp]の「upstream を意識することも重要だよ。」という記述になってくるのではないかと。オープンソース・コミュニティに関心があるなら、upstreamを意識する習慣は持って欲しい。みたいな。
                ただ、これについてはワタシはofficeさんと同じ意見で、こういうのはWebサイト運営側が率先してやるべきことだと思います。少なくとも脆弱性を報告してきたヒトに対して「upstreamにも連絡してくれ」と言うのは、ヘン。「upstreamにも連絡して対処を要請します。今後同様の問題があれば、そちらからもupstreamにも報告していただければ有り難いです」くらいの反応であるべき。些細な違いですがそれだけでもかなり印象は違うはず。

                あと、XSS(クロスサイトスクリプティング)脆弱性に対する認識が低いというのもあるのかも知れません。Slashcodeみたいに一般ユーザーも管理者も同一のインターフェイスを利用する仕組みだと、管理者がXSS脆弱性を狙った攻撃を受ける(邪なJavaScriptを含んだWebページへのリンクを踏むとか)だけで管理者権限で好き放題やられる、という可能性を理解していなかったのかもしれません。というか、Slashcode開発チームですらコトの重大性を理解していないっぽい [srad.jp]ですね…。

                こういう例があるからこそ、切り口は異なるにせよ、officeさんや高木氏のような活動は有意義だと思うし、どんどんやって欲しいと思います。IPAのセキュア・プログラミング講座 [ipa.go.jp]みたいな文献が無料で閲覧できることも、とても重要なことだと思います。ワタシもこんな風に他力本願ではイカンとか思うことも(たまには)あるのですが。
                親コメント
              • by Anonymous Coward
                開発者と利用者の区別をつけていないんでしょう。だから#70012 [srad.jp]で「オレは客だ」的態度を嫌うとやったわけで。
                「おまえがcodeを全部見ろ」は案外本気・本音かもしれない。
                ただ、いまの/.-Jがそれやっちゃいかんよね。
            • by k3c (4386) on 2002年03月08日 13時07分 (#70018) ホームページ 日記
              もう一点。

              > 「XSS出まくり」というのは(中略)参加者全員が予想できると運営側が期待

              していたと貴方が判断する根拠は何ですか?
              親コメント
      • by Anonymous Coward
        「却下」というラベルがつくのはSlashcodeの仕組み上、仕方ないのでは。タレコミはストーリとして掲載された以外は「却下」しか行き先がないのだから。バグのコンテキストなら素直に「closed」としてとるのがいいかと。「却下」という言葉の選択になんだかなぁ、と感じるのは事実だが。
        • by k3c (4386) on 2002年03月07日 13時53分 (#69769) ホームページ 日記
          ちょっと言葉が足りませんでしたか…。いつもそうだな。反省。

          「却下」という文字面を問題にしているのではなく、バグの報告に対する反応が常にその2文字だけであることを問題にしています。「バグが管理者の手元で再現できなかったので却下」なのか、「問題が確認され、コードの改訂により解決されました。あとはご自身で確認してください。却下」なのか、「同じ報告が何件も挙がっているので、あなたのタレコミは重複を避けるため却下します」なのか。

          今のインターフェイスでは全然分かりません。
          親コメント
    • by Anonymous Coward
      About us を読むとどうだっての?
      何が言いたいのかわからないよ。
      だから、ちゃんと表で議論しないと。
      タレコミが握りつぶされたりしないことを祈るよ。
  • by Anonymous Coward on 2002年03月06日 15時59分 (#69462)
    あのバグ報告ページに書いてあることが好きではないというか、気に食わない。
    瑣末な問題なので意見するまでも無いとは思ってるが。

    「slashdot.jpのシステムはslashcode.comが作成したslashcodeというソフトウェアに依存している。従って、明らかに深刻なバグと思われるものを発見されたときには我々だけではなくslashcode.comに同時に報告されたほうが迅速な対応を望める。」

    というあたりにするのが適切なような気がする。
    slashcodeとslashdotの関係をきっちりと明記しないと同一のものとみなすのは普通の反応だと思う。
    office氏が煮えきってないのもそこあたりだと勝手に推察する。

    あと「upstreamを意識するのも重要だよ」というのはどうだろうか?
    それは開発者に対して言う台詞であり、一利用者に言う台詞では無いと思う。
    そのサイトで見つけた問題点をそのサイトに報告して難癖を受ける謂れは無いでしょう。
    • 銀行のATMが故障してたから付属のインターホンで銀行に連絡したら、 製造元はF社なんですよー。我々も直すけど、F社にも言ってあげてね。製造元を意識することも重要だよ。って言われたようなものかな。
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...