XSS大王シリーズ終焉か
2003年7月29日(火曜日)
XSS大王シリーズ終焉か
例のニフティ Web フォーラムのセキュリティホールですが、こんなアナウンスが出ています。
継続して行っております脆弱性対応の一環としてフォーラムについてサブドメイン化を行わせていただくこととなりました。このサブドメイン化を行うことにより、脆弱性対応についての大きな作業は完了となります。
どうしてサブドメイン化がセキュリティ対応なのかについては、ここを読んでいる人には説明不要でしょう。
※でも一応書いておきますと、Cookie の有効ドメイン範囲を修正し、hpcgi1.nifty.com などから読まれないようにするためですね。
これが完了すれば、私が把握している Web フォーラムのセキュリティホールは全て対応されることになります。
……よく見ると URL が https じゃなくて http だったり、高木さんのところ (staff.aist.go.jp)にはちょうど良いタイミングで「Cookie盗聴によるWebアプリケーションハイジャックの危険性とその対策」と題する PDF のドキュメントが出ていたりしますが、まあその辺りは気づかなかったことにしておきましょうか……。
※蛇足ですがこれも一応説明しておくと、要するに、ニフティはパケット盗聴によるセッションハイジャックを考慮していない可能性があるということです。昔から http と https が良く分からない感じで入り乱れていたりしましたし。
なお、Web フォーラムとパレットは別のサービスです。この対処は「@nifty パレットのセキュリティホール まとめ」に書かれているセキュリティホールには影響ありません。
- 「XSS大王シリーズ終焉か」へのコメント (7件)
- 前(古い): PDF をダウンロードさせる
- 次(新しい): 忙殺
