水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 漢は黙ってXSSフィルタ

漢は黙ってXSSフィルタ

2010年2月18日(木曜日)

漢は黙ってXSSフィルタ

公開: 2010年2月28日1時10分頃

とあるサイトでXSS脆弱性らしきものを発見。いつもはこんな感じの3段階で脆弱性を確認しています。

最後に実際にスクリプトの動作を確認するわけですが、IE8ではXSSフィルタを無効にしなければならず、それが非常に面倒くさいです。Firefoxの場合、NoScriptを入れているとやっぱりXSSフィルタが効いてしまいます。というわけで、XSSフィルタのないGoogle Chromeを使うのが便利です。

……と思っていたわけですが、なぜか今日、Google Chromeで確認するとスクリプトが動作しないという現象に遭遇。ソースを見ると、そもそも「<script>」がインジェクションできていないように見えます。

何が起きたのか分からずに戸惑いましたが、実はGoogle Chrome 4からはXSSフィルタが搭載されていたのですね。

クロスサイトスクリプティング(XSS)の脆弱性を突いた攻撃が横行している現状に対しては、実験的機能として「リフレクティブXSSフィルタ」を実装した。同様の機能はIE 8とNoScriptでも提供しているが、Chromeの場合はレンダリングエンジンのWebKitにXSSフィルタを実装して攻撃検出力を高め、SafariやEpiphanyなどのWebKitを使ったブラウザでも同フィルタを利用できるようにしたとしている。

以上、Google Chrome 4で注目したいセキュリティ強化の新機能 より

いやまあ、XSSフィルタを搭載するのは良いのですが、動作したら動作したと分かるようにして欲しいです。誤検出の場合にリカバーする手段もないようですが、問題ないのでしょうか。

関連する話題: セキュリティ / UA / Google Chrome

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト