XSSフィルタはきりがない
2006年9月5日(火曜日)
XSSフィルタはきりがない
「[memo:9102] Re: IE における "expression" の過剰検出による XSS の 誘因 (www.st.ryukoku.ac.jp)」。
歴史的経緯を振り返ってみても、HotmailやYahoo! Mailなど、HTMLメールに対応したWebメールが90年代から繰り返しこの種の原因による脆弱性を指摘されてきましたが、発見者達は言外に「このような作り方はやめるべきである」という主張を含んでいたのだろうと私は思います(し、私が指摘したものについてはそのような意図を含んでいました)。しかしながら、そうした脆弱性を指摘されたサービス提供者たちは、根本的な解決を選択せずに、フィルタリング方法のその場しのぎの改善を繰り返して現在にまで至っています。
そうですねぇ。
いつぞやの講演でも言ったと思いますが、指摘→修正→別の方法で貫通することを指摘→修正→別の方法で貫通することを指摘……などという経験をすると、本当にあほらしく思うわけでして。
- 「XSSフィルタはきりがない」へのコメント (5件)
関連する話題: セキュリティ
