水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > XSSフィルタはきりがない

XSSフィルタはきりがない

2006年9月5日(火曜日)

XSSフィルタはきりがない

[memo:9102] Re: IE における "expression" の過剰検出による XSS の 誘因 (www.st.ryukoku.ac.jp)」。

歴史的経緯を振り返ってみても、HotmailやYahoo! Mailなど、HTMLメールに対応したWebメールが90年代から繰り返しこの種の原因による脆弱性を指摘されてきましたが、発見者達は言外に「このような作り方はやめるべきである」という主張を含んでいたのだろうと私は思います(し、私が指摘したものについてはそのような意図を含んでいました)。しかしながら、そうした脆弱性を指摘されたサービス提供者たちは、根本的な解決を選択せずに、フィルタリング方法のその場しのぎの改善を繰り返して現在にまで至っています。

そうですねぇ。

いつぞやの講演でも言ったと思いますが、指摘→修正→別の方法で貫通することを指摘→修正→別の方法で貫通することを指摘……などという経験をすると、本当にあほらしく思うわけでして。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト