2003年6月30日(月曜日)
きっかけはFPROG
個人的にはなぜ今ごろばけらさんがニフティのWebフォーラムの脆弱性を発見したかという当りに興味があったりしますが(謎)。
以上、りゅうさんの偽偽夜食日記の部屋2003年6月 より
たまたま 6月 18日に FPROG (@nifty プログラマーズフォーラム) のサイト (forum.nifty.com)が Not Found だったというのが全ての発端です。
- FPROG が Not Found だった。
- ひょっとしたら移転したかも知れないと考えた (過去に何度も URL が変わっているので)。
- ニフティのサイトの中から FPROG を検索してみようと思った。
- 適当にみていたら、フォーラム検索 (com.nifty.com)というのがあったので、FPROG を検索してみた。
- ヒットせず。
- javaScript 無効だと動かないのかなどと疑念を抱いたりしつつ、何なら検索できるのか、いろいろな文字列で試してみた。
- ……XSS 発見。
と、こんな経緯です。何で今頃、という質問に対しては、「たまたま FPROG が Not Found になったから」という回答になりますか。
- 「きっかけはFPROG」へのコメント (5件)
セキュアサイトシールは飾りか
更新: 2007年4月8日
セキュリティホールmemo の ML に「ベリサインのセキュアサイトシールは飾りか」などという話 (www.st.ryukoku.ac.jp)がありましたが、もちろん YES でしょう。何しろ任意の内容のセキュアシールを捏造できる状態ですので、ベリサインのセキュアサイトシール自体に信頼性が全くありません。
この話は「いまだに残る日本ベリサイン偽装問題 Beyond Security とiDefense が検証(2002.7.5) (www.netsecurity.ne.jp)」という記事でずっと前から公になっていますが、いまだにできてしまうようですね。
※2007-04-08追記 : ずいぶん前にシールは新しいものになり、古い URL ではアクセスできなくなりました。今ではこの捏造はできなくなっているはずです。
こういうのも一種の XSS と言えるのかしら。
やたら隠したがる人
「URL を見せるのはセキュリティ的に良くない」。
来た! 来ましたね。もうね、いいからとりあえず高木さんの「安全なWebアプリ開発40箇条の鉄則」あたり読んどいてください。
※昔は 32箇条だったような気がしますが、いつのまにか条項が増えている……。
しかしまあ、こういう人がシステムを作ったりしているから、あんなことやこんなことが起きたりするんでしょうね……。
- 前(古い): 2003年6月29日(Sunday)のえび日記
- 次(新しい): 2003年7月1日(Tuesday)のえび日記
