水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2010年のえび日記 > 2010年8月 > 2010年8月20日(金曜日)

2010年8月20日(金曜日)

脆弱.inふたたび

公開: 2010年8月22日15時10分頃

ドラッグ&ドロップで簡単プログラミング 文科省が子ども向けに公開、まとめサイトも登場 (www.itmedia.co.jp)」というお話が。

プログラミンで公開された作品を一覧で見たり、評価を投稿できる非公式サービス「プログラミン作品ギャラリー」を個人開発者の矢野さとるさんが同日中に公開するなど、反響が広がっている。

矢野さとるさんと言えば……ということで、今回も早速指摘されていますね。

現在は修正済みのようです。公表されたら直すのですね。

話は変わりますが、情報セキュリティ早期警戒パートナーシップの制度に関して「脆弱性を修正しようとしない運営者・開発者をどうするか」という議論が行われているようで、私も少し意見を述べさせていただきました。

まあ、いろいろありますよね。

関連する話題: Web / セキュリティ / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

パスワードを含むURLで警告が出ない話

公開: 2010年8月22日13時45分頃

こんな話が……firefoxのiframeに脆弱性? (slashdot.jp)

URIには http://username:password@example.com/ のようにしてIDとパスワードを入れることができたのですが、この形式で http://bakera.jp:bar@example.com/ のようにすると異なるドメインのように見せかけられるというアドレスバー偽装の問題がありました。この問題に対して、IEはその形式のURLにアクセスできないようにするという対応を行いました。Firefoxの方はアクセスできないようにするのではなく、アクセスしようとしたときに警告が出るようにしています。

[サイト www.st.ryukoku.ac.jp にユーザ名 "archives" でログインしようとしています。]

アクセス先が認証を求めていない場合はさらに厳しい警告が出ます。

[サイト bakera.jp にユーザ名 "foo" でログインしようとしていますが、Webサイトは認証を必要としていません。このサイトはあなたをだまそうとしている可能性があります。サイト bakera.jp に接続しますか?]

今回話題になっているのは、このURLがiframesrc属性に指定してある場合に警告が出ない、というお話のようで。実際やってみると、確かに警告は出ないのですが、リロードすると警告が出たり、良く分からない動作になるようですね。

iframeの中であればアドレスバー偽装の問題は起きませんが、そもそもFirefoxではアドレスバーにIDとパスワードが残らないようになっているようで、いずれにしてもアドレスバー偽装としては問題にはならないように思いますが……。

関連する話題: Web / セキュリティ / UA / Firefox

最近の日記

関わった本など

ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング