「XSSは修正完了？(XSS大王続報)」へのコメント

「水無月ばけらのえび日記 : XSSは修正完了？(XSS大王続報)」について、7件のコメントが書かれています。

[181] Re: えび日記 : 「XSSは修正完了？(XSS大王続報)」

賄い (2003年6月27日 17時27分)

解決していない「さらなるホゥル」の問題はもちろん「Cookie の有効ドメインの範囲」が

諸悪の根源なんでしょうが、それが諸悪の根源になってしまうのは、　

「@nifty の会員であれば誰でも・・・任意の CGI を置くことができ」があるからでしょうね？

「Cookie の有効ドメインの範囲」だけなら望ましくないにしてもどこでも有りそうな問題で。

私の仕事の一部にはセキュリティも含まれているんですが、あいにくとWEBアプリが大の苦手なんで

このあたりを私よりももっと普通の人に説明するのがとても大変です。(・_・;)

どうしたら良いんでしょう。

・・・・ようするに解り易く説明する為のヒントは無いかしらと暗に要求。（笑）

各フォーラム側で何らかの対策って取れないもんでしょうかね。

つまり「タグ不可！」「テキストのみ！」にしたらその会議室ではこの危険性は避けられるなんてこと

にはならないんでしょうかね。

いや、この場にふさわしくない思いっきり素人発言で申し訳ないんですが。

NIFTYが他の点を約束通り28日以前に塞いでくれたことは評価しますが、

しかし、この「Cookie の有効ドメインの範囲」+「任意のCGI」問題が実は一番大きいように思えて

フォーラムも含めた何らかの防衛策が無いととてもWEBフォーラムなんて発言できね～ぞ～。

と、ちょっと暗くなっております。今のTTYで発言できなくなるのがもう目前なので。(T_T)

[182] Re: えび日記 : 「XSSは修正完了？(XSS大王続報)」

y-Aki (2003年6月27日 17時44分)

ログインしている間に掲示板以外のサイトに行かなければ大丈夫。

ただし、掲示板にimgが貼れるとやばい。

iframeは、多分書けないと思うので、大丈夫。

scriptが書けるとアウト(って当たり前か)。

あとは、巡回ツールを信用するとして、巡回ツールを使用とか。

＃CMNの最近の版はテキストモード使えるのか(でも、どうだろうか)

[183] Re: えび日記 : 「XSSは修正完了？(XSS大王続報)」

ばけら (2003年6月27日 18時55分)

>ログインしている間に掲示板以外のサイトに行かなければ大丈夫。

　これが基本になるでしょうね。

　ただ、Web フォーラム内の発言で他のサイトを紹介するようなことは普通に行われると思います。普通は、ログアウトなどしないでそのまま見ますよね。実際、サーバのログを見ていますと Web フォーラム内からと思われる Referer が結構記録されていますから、皆さん普通に外部サイトへのリンクをたどっているようです。

　そんなわけで、普段から用心して絶対に他サイトを見ないようにしていないと、普通にリンクをたどって普通に踏んでしまう危険性はかなり高いと思います。

>ただし、掲示板にimgが貼れるとやばい。

　これは、かつては書き込めたので、「修正」後にも書けるようになる可能性は高いですね。修正によって javascript: だとか onclick だとかは書けなくなるのでしょうが、普通に画像が書けるだけで危険ですね。