k3cの日記: slashcodeのXSS脆弱性 15
日記 by
k3c
についての、産業技術総合研究所・高木浩光氏のレポートが出ていたので、備忘録代わりにメモ。
[memo:3132] Slashdotにおけるクロスサイトスクリプティング脆弱性がもたらす脅威
あと、それに対するofficeさんの反応。
一般的な傾向として、確かにセキュリティ絡みの連絡先が分かり難いというのはある。そういうのも件のRFC(まだInternet Draft)に準拠する形で修正されていくといいのだけど。
slashdot.jpについては、バグ報告なんていうページも作られたようだし、officeさんの行動がいい方向へ影響していると思う。
slashdot.orgは、元々個人が立ち上げて、その後VA Linuxに買収されて、しかし運営の権限は元のまま、というちょっと特殊な形態なので、slashcodeとosdn.comのエンジンは全く別のヒトが管理している全く別のコードと思った方がいいでしょう。
しかし (スコア:0)
焦っていると気がつかないのかもしれないが。
#本人にどう伝えるべきか迷っているので匿名御免。
えーと (スコア:1)
意味がわかりません。…いや、別に匿名でも構いませんが。
ワタシは脆弱性を見つけて報告したことがないのでofficeさんの「工数」というのがどういうことなのかよく分からないのですが、たぶん、「ここだ」と思った連絡先にメールや何やら送っても、「そういうハナシならhogehoge@funifuniへメールしてね」とか言われるばっかりで手間がかかってしょうがない。ということが言いたいのではないでしょうか。
/.Jだって、「バグ報告」のページができるまではバグをタレコんで、「却下」されて終わり、という、かなりTrustworthyでない対応しかしてませんでしたよね。(今でもカスタマイズがらみは全部そう)それは、他のサイトの対応と比較するとやはりお粗末と言えるのではないでしょうか。
ワタシは今のところ、タレコんだバグが「却下」されてFixされていることを自分で確認してそれで終わり、なので別に不便を感じていません。件のXSS(クロスサイトスクリプティング)脆弱性関連以外では。なので、高木さんのレポートの末尾にあった「セッションcookieを保存しない、不用意にリンクを踏まない」というのは、ワタシにとって現在かなり魅力的なオプションです。利便性と秤にかけて、今のところセッションcookieは保存していますが…。
せっかくSlashセクションがあるのだから、セクションonlyのトピックとしてどんどんバグ修正を投稿すればいいのに、と思います。障害報告だけじゃなく。Linuxカーネルのアップデートばかり追いかけてないで。などと。
Re:えーと (スコア:0)
確かに「サイトを作り替えて」いるわけだわねぇ…。
困ったものだ。>スラッシュチーム [mailto]
Re:えーと (スコア:1)
今はもう無くなったかのように思い込ませたいのでしょうか?
Re:えーと (スコア:0)
高木氏とoffice氏がなぜ全く異なった反応を食らったのか、の問題。
今回の問題は、運営側において「オレは客だ」的態度を嫌う2ちゃんねる的発想がもろに出てしまったためのように思う。
協力者を呼ぶ段階としてのプロモーションとしては、それじゃだめなんですけどね。
PC-UNIX文化自体が「スクリプトっておいしいの
Re:えーと (スコア:1)
> > メタFAQ(中略)をわざわざweb.archive.orgから引いてくるのはなぜですか?
> > 今はもう無くなったかのように思い込ませたいのでしょうか?
と質問しました。それに対する貴方の答えは、
> 逆。
> 高木氏とoffice氏がなぜ全く異なった反応を食らったのか、の問題。
ですか。
高木氏とofficeさんが「異なった反応を食らった」(ワタシはそう確信するに足るだけの情報を持っていませんが…)ことと、web.archive.orgから昔のデータを(今も変わらずそこにあるにもかかわらず)引っ張り出してくることと、何がどう「逆。」なのか、ワタシにはさっぱり分かりません。
ワタシはどうやら貴方より頭が悪いようなので、もう少し筋道立てて説明していただけると有難いです。
Re:えーと (スコア:0)
office氏が交渉開始時に該当の文書を読めたと言うことが大事。
と比べれば眼前にあったFAQを読まずに事に着手したことは明らか。だから#70012 [srad.jp]でFAQを読まない横紙破りと言っている。
その程度で過敏な警戒をすることはスラッシュチーム [mailto]がやっては
Re:えーと (スコア:1)
で、一点だけ。
> そうでなかったら、ここまで話はこじれまいし、もっと早い段階で自らコードの精査に乗り出しているはず。
えーと、以下は、決して誰かを非難するとかそういう意図で書くのではないのですが…。
セキュリティについては自分たちでなくSlashcode開発チームに対応してもらいたかったんじゃないでしょうか。その方が(Slashcodeを使ってWebサイトを運営しているヒト)全員がシアワセになれるし、自分たちも楽だし。そういう観点から、バグ報告ページ [srad.jp]の「upstream を意識することも重要だよ。」という記述になってくるのではないかと。オープンソース・コミュニティに関心があるなら、upstreamを意識する習慣は持って欲しい。みたいな。
ただ、これについてはワタシはofficeさんと同じ意見で、こういうのはWebサイト運営側が率先してやるべきことだと思います。少なくとも脆弱性を報告してきたヒトに対して「upstreamにも連絡してくれ」と言うのは、ヘン。「upstreamにも連絡して対処を要請します。今後同様の問題があれば、そちらからもupstreamにも報告していただければ有り難いです」くらいの反応であるべき。些細な違いですがそれだけでもかなり印象は違うはず。
あと、XSS(クロスサイトスクリプティング)脆弱性に対する認識が低いというのもあるのかも知れません。Slashcodeみたいに一般ユーザーも管理者も同一のインターフェイスを利用する仕組みだと、管理者がXSS脆弱性を狙った攻撃を受ける(邪なJavaScriptを含んだWebページへのリンクを踏むとか)だけで管理者権限で好き放題やられる、という可能性を理解していなかったのかもしれません。というか、Slashcode開発チームですらコトの重大性を理解していないっぽい [srad.jp]ですね…。
こういう例があるからこそ、切り口は異なるにせよ、officeさんや高木氏のような活動は有意義だと思うし、どんどんやって欲しいと思います。IPAのセキュア・プログラミング講座 [ipa.go.jp]みたいな文献が無料で閲覧できることも、とても重要なことだと思います。ワタシもこんな風に他力本願ではイカンとか思うことも(たまには)あるのですが。
Re:えーと (スコア:0)
「おまえがcodeを全部見ろ」は案外本気・本音かもしれない。
ただ、いまの/.-Jがそれやっちゃいかんよね。
Re:えーと (スコア:1)
> 「XSS出まくり」というのは(中略)参加者全員が予想できると運営側が期待
していたと貴方が判断する根拠は何ですか?
Re:えーと (スコア:0)
Re:えーと (スコア:1)
「却下」という文字面を問題にしているのではなく、バグの報告に対する反応が常にその2文字だけであることを問題にしています。「バグが管理者の手元で再現できなかったので却下」なのか、「問題が確認され、コードの改訂により解決されました。あとはご自身で確認してください。却下」なのか、「同じ報告が何件も挙がっているので、あなたのタレコミは重複を避けるため却下します」なのか。
今のインターフェイスでは全然分かりません。
Re:しかし (スコア:0)
何が言いたいのかわからないよ。
だから、ちゃんと表で議論しないと。
タレコミが握りつぶされたりしないことを祈るよ。
いまひとつ (スコア:0)
瑣末な問題なので意見するまでも無いとは思ってるが。
「slashdot.jpのシステムはslashcode.comが作成したslashcodeというソフトウェアに依存している。従って、明らかに深刻なバグと思われるものを発見されたときには我々だけではなくslashcode.comに同時に報告されたほうが迅速な対応を望める。」
というあたりにするのが適切なような気がする。
slashcodeとslashdotの関係をきっちりと明記しないと同一のものとみなすのは普通の反応だと思う。
office氏が煮えきってないのもそこあたりだと勝手に推察する。
あと「upstreamを意識するのも重要だよ」というのはどうだろうか?
それは開発者に対して言う台詞であり、一利用者に言う台詞では無いと思う。
そのサイトで見つけた問題点をそのサイトに報告して難癖を受ける謂れは無いでしょう。
「製造元を意識するのも重要だよ」? (スコア:0)