記事個別表示 (181)
これは「水無月ばけらのえび日記 : XSSは修正完了?(XSS大王続報)」に関連するコメントです。
[181] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」
賄い (2003年6月27日 17時27分)
解決していない「さらなるホゥル」の問題はもちろん「Cookie の有効ドメインの範囲」が
諸悪の根源なんでしょうが、それが諸悪の根源になってしまうのは、
「@nifty の会員であれば誰でも・・・任意の CGI を置くことができ」があるからでしょうね?
「Cookie の有効ドメインの範囲」だけなら望ましくないにしてもどこでも有りそうな問題で。
私の仕事の一部にはセキュリティも含まれているんですが、あいにくとWEBアプリが大の苦手なんで
このあたりを私よりももっと普通の人に説明するのがとても大変です。(・_・;)
どうしたら良いんでしょう。
・・・・ようするに解り易く説明する為のヒントは無いかしらと暗に要求。(笑)
各フォーラム側で何らかの対策って取れないもんでしょうかね。
つまり「タグ不可!」「テキストのみ!」にしたらその会議室ではこの危険性は避けられるなんてこと
にはならないんでしょうかね。
いや、この場にふさわしくない思いっきり素人発言で申し訳ないんですが。
NIFTYが他の点を約束通り28日以前に塞いでくれたことは評価しますが、
しかし、この「Cookie の有効ドメインの範囲」+「任意のCGI」問題が実は一番大きいように思えて
フォーラムも含めた何らかの防衛策が無いととてもWEBフォーラムなんて発言できね~ぞ~。
と、ちょっと暗くなっております。今のTTYで発言できなくなるのがもう目前なので。(T_T)
これは「水無月ばけらのえび日記 : XSSは修正完了?(XSS大王続報)」に関連するコメントです。
全読: [181]Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」からのスレッド(7件)]